Android Advanced Protection : Google vend de la sécurité VIP, reste à savoir ce que ça protège vraiment

Le mode Advanced Protection existait déjà sur les comptes Google depuis 2017 - clé physique obligatoire, restrictions de téléchargement, surface d'attaque réduite. Ce qui change avec Android 16 : le dispositif descend au niveau du système d'exploitation mobile lui-même. Google a annoncé lors de la dernière édition de Google I/O un ensemble de fonctions regroupées sous le terme Advanced Protection Mode, activables par l'utilisateur dans les paramètres de sécurité, avec une journalisation locale des événements système destinée à repérer les traces d'intrusion.

Concrètement, le téléphone stocke des logs chiffrés de bout en bout, envoyés dans le cloud Google mais théoriquement illisibles par Google. L'utilisateur peut les partager avec un tiers - un analyste forensique, une équipe de sécurité interne - en cas de suspicion de compromission. La 2G est désactivée par défaut, ce qui bloque les attaques par IMSI catcher et downgrade réseau. Le mode empêche aussi les connexions automatiques à des réseaux Wi-Fi non sécurisés. Memory Tagging Extension (MTE), une protection matérielle contre les corruptions mémoire, est activée par défaut sur les appareils Pixel compatibles.

Pegasus, encore

Google ne prononce pas le mot Pegasus dans ses communications. Mais la page de présentation du mode cite explicitement les « attaques mercenaires » et les « spywares ciblés », et mentionne les « journalistes, élus et dirigeants d'entreprise » comme population visée.

Dave Kleidermacher, VP Engineering Security & Privacy chez Google, a déclaré que le mode Advanced Protection avait été conçu « pour les personnes qui savent qu'elles sont ciblées, ou qui devraient le savoir ».

La formulation est inhabituelle. Elle transfère une partie de la responsabilité du risque vers l'utilisateur.

Apple avait ouvert ce terrain en septembre 2022 avec le Lockdown Mode d'iOS 16. Le principe est similaire : réduire drastiquement la surface d'attaque en désactivant des fonctions - aperçu des liens dans Messages, compilation JIT dans Safari, certains protocoles réseau. Apple a depuis revendiqué qu'aucune attaque zero-click connue n'avait réussi contre un appareil en Lockdown Mode. Google ne fait pas de revendication équivalente. Il est encore trop tôt : le mode n'est disponible que depuis la bêta d'Android 16.

Ce que les logs voient, et ce qu'ils ne voient pas

La journalisation locale est la nouveauté la plus intéressante pour les équipes sécurité en entreprise. Jusqu'ici, détecter un spyware de niveau étatique sur un terminal Android relevait du travail forensique lourd - extraction physique, analyse post-mortem avec des outils comme MVT (Mobile Verification Toolkit), développé par Amnesty International. Google propose ici un mécanisme intégré, toujours actif, qui pourrait abaisser le coût de détection.

Pourrait. Parce que la documentation technique disponible ne précise pas quels événements système sont journalisés. Google parle d'un « intrusion log » sans détailler les signaux capturés : appels système suspects, chargement de modules noyau non signés, élévations de privilèges, communications réseau anormales ? Rien de cela n'est documenté publiquement.

Un chercheur en sécurité mobile de Citizen Lab a rappelé sur Mastodon que « la capacité de détection dépend entièrement du modèle de menace que Google a choisi de couvrir - et on ne sait pas lequel c'est ».

Sans cette information, un RSSI ne peut pas évaluer si le mécanisme complète ou remplace ses outils existants.

Le chiffrement de bout en bout des logs est un argument fort pour les profils à risque - un gouvernement qui compromettrait le compte Google de sa cible ne pourrait pas, en théorie, accéder aux journaux d'intrusion stockés dans le cloud. Mais le chiffrement repose sur les clés de l'appareil. Si l'appareil lui-même est compromis à un niveau suffisamment bas - ce qui est précisément le scénario Pegasus -, la question de l'intégrité des logs se pose mécaniquement.

2G

La désactivation de la 2G est une mesure que les chercheurs en sécurité mobile demandent depuis des années. Les IMSI catchers exploitent le fallback 2G pour intercepter les communications en clair. Samsung proposait déjà une option de désactivation manuelle de la 2G sur certains modèles Galaxy depuis 2023. Google la rend systématique dans le cadre du mode renforcé. En France, les opérateurs ont entamé l'extinction de la 2G - Orange vise 2025, SFR 2026 -, ce qui rendra la mesure partiellement redondante sur le territoire métropolitain. Moins dans les zones où les réseaux 2G restent actifs : Afrique, Asie du Sud-Est, une partie de l'Amérique latine. Les dirigeants qui voyagent sont ceux qui en ont le plus besoin.

MTE, la protection mémoire matérielle, n'est disponible que sur les puces Arm v9 et uniquement activée par défaut sur les Pixel 8 et ultérieurs. Les flottes Samsung, Xiaomi ou autres constructeurs OEM sous Android 16 pourront activer le mode Advanced Protection, mais sans le bénéfice de MTE sauf si le fabricant l'implémente au niveau firmware. Google ne mentionne aucun engagement de constructeurs tiers à ce stade.

Le tableau montre un déséquilibre instructif. Google propose deux fonctions inédites — la journalisation et la coupure 2G — mais laisse dans l'ombre tout ce qui concerne le durcissement de la surface applicative. Apple documente précisément ce que Lockdown Mode désactive. Google ne le fait pas encore.

Le problème MDM

Pour un DSI, la question n'est pas de savoir si le mode existe. C'est de savoir s'il peut l'activer à distance sur les terminaux des membres du comité exécutif, des directeurs financiers, des responsables M&A - les profils réellement ciblés par du spyware commercial. Aujourd'hui, le mode Advanced Protection est activable par l'utilisateur dans les paramètres. Google n'a pas annoncé d'API de gestion via Android Enterprise ou un EMM quelconque. Ce qui signifie qu'en l'état, un RSSI ne peut pas imposer le mode sur une flotte de dirigeants. Il peut le recommander. La différence est considérable.

Apple avait fait le même choix avec Lockdown Mode - activation volontaire uniquement, pas de déploiement MDM. Jamf et d'autres éditeurs de MDM ont depuis développé des mécanismes de conformité qui vérifient si le mode est activé et remontent une alerte dans le cas contraire, sans pouvoir l'activer eux-mêmes. On peut supposer que l'écosystème Android Enterprise suivra le même chemin, mais rien n'est annoncé.

Il y a un paradoxe opérationnel à construire un outil de protection pour des cibles à haut risque et à conditionner son activation au bon vouloir de l'utilisateur. Les personnes les plus exposées aux spywares étatiques ne sont pas toujours les plus compétentes techniquement. Un PDG du CAC 40 n'ira pas chercher l'option dans les paramètres de sécurité d'Android. Quelqu'un devra le faire pour lui.

L'annonce a été faite un mardi matin à Mountain View, entre une démonstration de Gemini et un bloc sur Android Auto. Trente secondes de vidéo dans un keynote de deux heures.

Google publie depuis 2019 des notifications directes aux utilisateurs de comptes Google ciblés par des attaques étatiques — environ 12 000 alertes par trimestre selon les chiffres communiqués en 2022 par le Threat Analysis Group. Le mode Advanced Protection existait pour ces utilisateurs alertés. L'extension au système Android est logique. Mais le passage de la protection du compte à la protection du terminal pose une question d'engagements : Google est responsable de l'infrastructure de son compte. Il est beaucoup moins maître de ce qui se passe sur un appareil Samsung avec une surcouche OneUI, un firmware modem Qualcomm et des pilotes propriétaires.

Dave Kleidermacher a ajouté, en réponse à une question en marge de la conférence : « Nous travaillons avec les OEM pour que le mode soit aussi efficace que possible sur l'ensemble de l'écosystème. »

La phrase est calibrée. « Aussi efficace que possible » n'est pas « aussi efficace que sur Pixel ».