Google a annoncé de nouvelles fonctionnalités de sécurité cellulaire pour son prochain Android 14, attendu plus tard ce mois-ci, qui visent à protéger les données et les communications des entreprises.
Android 14 permettra aux consommateurs et aux entreprises de désactiver la prise en charge de la 2G sur leurs appareils ou un parc d’appareils gérés et de désactiver la prise en charge de la connectivité cellulaire à chiffrement nul (non chiffré) au niveau du modem.
« Android est le premier système d’exploitation mobile à introduire des atténuations avancées de la sécurité cellulaire pour les consommateurs et les entreprises », lit-on dans l’annonce de Google.
« Android 14 introduit la prise en charge pour les administrateurs informatiques de désactiver la prise en charge 2G dans leur flotte d’appareils gérés [et] introduit également une fonctionnalité qui désactive la prise en charge de la connectivité cellulaire à chiffrement nul. »
Protection d’entreprise Stingray
L’annonce de Google met en évidence les risques de fausses stations de base et d’attaques « Stingray » qui peuvent intercepter les données, la voix et les SMS des utilisateurs en écoutant le trafic réseau.
Les Stingrays sont des simulateurs de sites cellulaires qui imitent les tours de téléphonie cellulaire pour inciter les appareils à portée à s’y connecter. Cela permet d’intercepter des données personnelles sensibles telles que les métadonnées d’appel, le contenu des SMS et des appels vocaux, l’utilisation des données et l’historique de navigation, et l’IMSI de l’appareil.
Les attaques Stingray ont été largement atténuées en 4G. Cependant, étant donné que la rétrogradation des connexions vers la 2G reste possible, les stations cellulaires malveillantes peuvent toujours effectuer ces puissantes attaques de type « man-in-the-middle ».
Google a d’abord proposé la possibilité de désactiver la connectivité 2G sur Android 12 en passant par « Paramètres → Réseau et Internet → SIMs → Autoriser la 2G ».
Dans Android 13, cette option se trouve dans « Paramètres → Réseau et Internet → SIMs → [sélectionnez SIM] → Autoriser 2G ».
À partir d’Android 14, ceux qui gèrent des flottes d’appareils, tels que des agences gouvernementales, des entités d’entreprise ou d’autres organisations, peuvent restreindre les rétrogradations de connectivité 2G sur tous les appareils sous leur contrôle.
Cette option s’ajoute à plus de 200 commandes disponibles dans Android Enterprise, y compris la possibilité de désactiver le Wi-Fi, le Bluetooth et la signalisation de données via USB.
Les attaques Stingray sont devenues plus courantes au cours des deux dernières années, les forces de l’ordre et les sociétés de surveillance les utilisant pour espionner les téléphones portables. Cette fonctionnalité est donc un ajout bienvenu à la sécurité de l’entreprise.
Blocage des réseaux non chiffrés
Alors que tout le trafic utilisateur basé sur IP sur Android est crypté de bout en bout, garantissant que toute interception n’entraînera pas de violation de données, Google avertit que certains types de communication, tels que les appels vocaux à commutation de circuits et les messages SMS, peuvent toujours être exposés sur les réseaux cellulaires.
Les données exposées sont généralement protégées par le chiffrement de la couche de liaison cellulaire, sur lequel les utilisateurs n’ont aucun contrôle ni visibilité, de sorte que sa force et sa fiabilité sont douteuses.
De plus, des rapports récents ont montré que les chiffrements nuls (pas de cryptage) ne sont pas rares dans les réseaux commerciaux, exposant les données mentionnées en texte clair et sous une forme facilement lisible à ceux qui peuvent les intercepter.
Pour atténuer ce risque, Android 14 introduit une fonctionnalité qui permet aux utilisateurs de désactiver la prise en charge des connexions à chiffrement nul au niveau du modem pour les appareils qui adoptent la dernière couche d’abstraction matérielle radio (HAL).
Comme dans la fonction de désactivation 2G, les appels d’urgence peuvent toujours passer à des connexions à chiffrement nul pour éviter de compromettre la sécurité des utilisateurs.