Google renonce à sécuriser les communications des utilisateurs d’Android
Après avoir annoncé que la dernière version de son logiciel d’exploitation pour mobile disposerait d’une fonction de chiffrement automatique, Google a finalement fait marche arrière.
Google promettait une sucette avec un «emballage en béton». Il a finalement du revoir ses ambitions à la baisse. La nouvelle version d’Android, le système d’exploitation mobile de Google, ne chiffre pas par défaut les communications de ses utilisateurs, d’après des informations du site Ars Technica. Il s’agissait pourtant d’une promesse du groupe américain. «À partir du moment où vous allumez un appareil qui utilise Android 5.0 (Lollipop, ou sucette en français), vous êtes protégés par des nouvelles fonctionnalités, comme le chiffrement par défaut», affirmait-il en octobre.
Le chiffrement est un procédé de cryptographie qui rend impossible la lecture de données à toute personne ne disposant pas de clé de déchiffrement. Il peut s’agir d’un message envoyé, comme un SMS ou un email, ou d’informations personnelles stockées sur un appareil. On peut activer le chiffrement des données sur les versions récentes d’Android depuis 2011. Néanmoins, en septembre 2014, Google était allé plus loin en annonçant l’enclenchement par défaut de cette fonctionnalité sur Android Lollipop. «Depuis trois ans, Android propose de chiffrer les communications de ses utilisateurs. Les clés de déchiffrement ne sont pas stockées sur les appareils, et donc inaccessibles aux autorités», avait alors expliqué un porte-parole de Google auWashington Post. «Désormais, nos utilisateurs n’ont même plus besoin de penser à enclencher cette option.»
Critiques des autorités américaines
Trois mois après la sortie officielle d’Android Lollipop, la réalité est plus nuancée. D’après Ars Technica, seuls les mobiles les plus récents produits par Google, le Nexus 6 et la Nexus 9, diposent du chiffrement par défaut. Ce n’est pas le cas pour les autres smartphones et tablettes qui utilisent la dernière version d’Android mais construits par d’autres entreprises, comme le Galaxy S6 de Samsung. Les règles imposées par Google aux constructeurs ne prévoient pas l’obligation de chiffrer automatiquement les communications. L’option doit être proposée mais n’est pas forcément mise par défaut.
Difficile de savoir les raisons d’un tel recul. Fin 2014, la position favorable de Google sur le chiffrement avait été vertement critiquée par les autorités américaines, dont le FBI. Ces dernières craignent que les criminels n’utilisent ces outils pour échapper à leur surveillance. Apple, qui a également implémenté le chiffrement par défaut dans la dernière version d’iOS, n’avait pas été épargné. «L’iPhone va devenir le téléphone préféré des pédophiles!» avait prédit le chef de la police de Chicago.
L’autre problème est que le chiffrement systématique n’est pas une fonctionnalité simple à implanter. Elle peut sévèrement ralentir les capacités d’un mobile peu performant. Or, Android équipe de nombreux modèles de téléphones et de tablettes, produits par différents constructeurs. Officiellement, Google a donc préféré retarder la généralisation du chiffrement à cause de «soucis de performance», d’après un communiqué publié mardi après-midi.