Sécurité Android obtient un autre niveau de responsabilité, et il vise carrément un problème que les signatures numériques ne peuvent pas résoudre. Google a annoncé qu'il étendait la transparence binaire à l'ensemble de l'écosystème Android. Commencer par la production des applications Google pour les modules Android et Mainline, la société enregistrera les versions officielles dans un registre public en annexe uniquement, ce qui devrait permettre de vérifier plus facilement si le logiciel exécuté sur un appareil est la version exacte que Google avait l'intention de publier.
Pourquoi les signatures numériques ne suffisent plus
Depuis des années, les signatures numériques constituent le principal moyen de confirmer l’authenticité d’une application. Si une application porte la bonne signature, le système peut être sûr qu'elle provient du développeur attendu. Mais Google affirme qu'il a ses limites. Si une clé de signature est volée, si un interne diffuse une version modifiée ou si une version de développement interne fuit, la signature peut toujours sembler valide. La plus grande question est de savoir si cette application spécifique était censée être rendue publique.
C’est donc essentiellement là qu’intervient Binary Transparency. Google appelle les signatures numériques un « certificat d’origine », tandis que Binary Transparency agit davantage comme un « certificat d’intention ». En termes plus simples, une application Google signée ne suffit pas. Il doit également apparaître dans le grand livre public pour prouver que Google avait l'intention de l'expédier.
Le logiciel Android obtient un dossier public
Dans le cadre du nouveau système, les applications Android de production de Google publiées après le 1er mai 2026 auront une entrée cryptographique correspondante dans le journal de transparence. Cela inclura les applications Google telles que les services Playainsi que les modules Mainline qui sont des parties pouvant être mises à jour d'Android fonctionnant avec des privilèges élevés. Cela signifie que si une application signée par Google publiée après cette date ne figure pas dans le grand livre, la société n'avait pas l'intention de la publier.
Pourquoi c'est important pour les utilisateurs d'Android
Cela n’arrêtera pas comme par magie toutes les applications malveillantes ou les APK louches, et les avantages sont pour la plupart invisibles pour les utilisateurs réguliers. Mais pour les chercheurs en sécurité, les fabricants d’appareils et l’écosystème Android au sens large, cela crée un moyen de vérifier les logiciels officiels de Google au lieu de simplement s’appuyer sur la confiance.
