La sortie d'Android 4.4 KitKat a apporté un large éventail d'améliorations, notamment une sécurité renforcée. Bien que la sécurité puisse être plus stricte, les messages peuvent toujours être un peu cryptiques. Que signifie exactement l'avertissement persistant «Le réseau peut être surveillé», si cela vous inquiète, et que pouvez-vous faire pour vous en débarrasser?
Cher Geek How-To,
J'ai récemment acheté un nouveau téléphone Android, et il y a eu ce nouveau message d'avertissement qui me fait un peu flipper. Il n'est jamais apparu sur mon ancien téléphone Android et maintenant il apparaît tous les quelques jours ou chaque fois que je redémarre le téléphone. Le message qui clignote dans la barre d'état, puis apparaît dans le menu de notification est «Le réseau peut être surveillé», puis si je clique sur le raccourci d'avertissement dans le menu de notification, cela m'amène à un menu système intitulé «Informations d'identification fiables, »Avec deux onglets. L'un est intitulé «système» et l'autre est intitulé «utilisateur». Il y a des tonnes d'éléments répertoriés dans l'onglet «système» et un seul dans l'onglet «utilisateur». Ce qui est étrange, c'est que l'élément répertorié dans l'onglet utilisateur ressemble à un nom de routeur "netgear".
Je n'ai aucune idée de ce que sont ces choses ou pourquoi Android me dit que mon réseau peut être surveillé. Dois-je être aussi effrayé que moi par ce message et que puis-je faire pour le faire disparaître? J'ai joint des captures d'écran au cas où j'aurais mal décrit le problème.
Cordialement,
Paranoid Android
Ce genre de situation est exactement la raison pour laquelle nous n’avons pas particulièrement apprécié la mise en œuvre de la gestion des identifiants dans Android 4.4. Le cœur de Google était au bon endroit, mais la façon dont la mise à jour l'a gérée (et a averti l'utilisateur) est au mieux inélégante et troublante (pour l'utilisateur final non initié) au pire. Voyons ce qu'est le message d'avertissement et ce que vous pouvez y faire.
La source de l'avertissement
Tout d'abord, expliquons Pourquoi vous recevez ce message d'erreur, car Android ne donne pratiquement aucun commentaire utile à cet égard. Votre téléphone conserve une liste de certificats de sécurité approuvés et fournis par l'utilisateur. Cette longue liste d'entrées sous «système» que vous avez trouvée dans le menu «Informations d'identification de confiance» n'est essentiellement qu'une longue liste blanche d'émetteurs de certificats de sécurité approuvés avec lesquels Google a pré-amorcé votre téléphone Android. En gros, votre téléphone dit: "Oh, d'accord, ces personnes sont dignes de confiance, nous pouvons donc faire confiance aux certificats de sécurité émis par elles."
Lorsqu'un certificat de sécurité est ajouté à votre téléphone (soit manuellement par vous, de manière malveillante par un autre utilisateur, ou automatiquement par un service ou un site que vous utilisez) et il est ne pas émis par l'un de ces émetteurs pré-approuvés, la fonctionnalité de sécurité d'Android entre alors en action avec l'avertissement "Les réseaux peuvent être surveillés". Techniquement, c'est un avertissement précis: si un certificat de sécurité malveillant / compromis est installé sur votre appareil, il est possible que le trafic de votre appareil puisse être surveillé dans certaines circonstances. Il est également possible pour une entreprise ou un fournisseur de points d'accès d'utiliser des certificats auto-émis sur leur propre matériel à cette fin (bien que, généralement, leurs motivations soient plus bénignes).
Malheureusement, l'avertissement émis est inutilement effrayant et il n'est pas clair: si vous ne savez pas quel est l'accord avec les informations d'identification de confiance et les certificats de sécurité, l'avertissement pourrait tout aussi bien être en binaire.
Un certificat n'a même pas besoin d'être véritablement malveillant pour déclencher les avertissements, mais il doit simplement être émis / signé par une autorité qui n'est pas répertoriée dans la liste des «systèmes» de confiance. Cela signifie que si vous avez signé votre propre certificat pour une certaine utilisation (comme la configuration d'une connexion sécurisée à votre serveur domestique), Android s'en plaindra. Cela signifie également que si votre entreprise signe elle-même ses certificats pour une utilisation en interne et ne paie pas pour un certificat officiellement signé, vous recevrez également un avertissement.
Enfin, et nous sommes presque sûrs que c'est exactement ce qui s'est passé dans votre cas, si vous vous connectez à un réseau Wi-Fi sécurisé qui utilise un certificat de sécurité d'un émetteur qui ne figure pas sur la liste de confiance de votre téléphone, vous obtenez l'erreur. Techniquement, comme nous l'avons mentionné ci-dessus, l'entreprise peut utiliser le certificat auto-signé à des fins malveillantes, mais pratiquement la plupart du temps, vous rencontrez ce problème, car 1) l'entreprise ne veut pas payer les frais pour un public certificat qu'ils utilisent à des fins privées et 2) ils veulent un contrôle total sur le processus de création et de signature du certificat.
Si vous voulez en savoir plus sur le côté technique de l'avertissement (ainsi que sur la façon dont le nouveau système de gestion des certificats a fait plus que quelques personnes), vous pouvez consulter ces fils de rapports de bogues Android [ 1 , 2] et ces deux articles de blog sur GeekTaco [ 1 , 2 ] discutant de la question en profondeur.
Devriez-vous vous inquiéter?
L'avertissement est formulé très sérieusement, et nous ne vous en voulons guère d'être un peu paniqué. Mais devriez-vous vraiment vous inquiéter? Dans la grande majorité des cas, les utilisateurs qui voient cette erreur ne la voient pas, car quelqu'un a installé un certificat malveillant sur leur ordinateur et ils sont maintenant en danger. La raison la plus courante est celle que nous avons décrite ci-dessus: les entreprises utilisant des certificats auto-signés qui ne sont pas répertoriés dans le répertoire des certificats de confiance du système car ils n’ont jamais été émis par un émetteur autorisé.
Étant donné que la probabilité qu'une personne utilise un certificat malveillant contre vous est faible et que le certificat entraîne l'avertissement comme étant un certificat non malveillant qui n'a tout simplement pas été créé par une autorité de certification vérifiée publiquement, vous n'avez pas à paniquer.
Cela dit, il n'y a aucune raison de conserver des certificats inconnus et aucune raison de subir des avertissements qui ne s'appliquent pas à votre situation. Voyons ce que vous pouvez faire dans les deux scénarios.
Que pouvez-vous faire?
La très grande majorité des certificats provenant de sources légitimes doivent être correctement signés et vérifiés. Dans les rares cas où vous avez un certificat non signé par un certificat valide (par exemple, vous l'avez créé vous-même ou votre entreprise l'utilise pour des réseaux internes), soit vous connaissez l'origine du certificat parce que vous avez participé à sa création, soit une conversation avec les informaticiens devraient clarifier les choses.
Donc, à moins que vous n'utilisiez Android dans un environnement d'entreprise (dans lequel vous devriez vérifier avec vos informaticiens pour voir quel est l'accord avec le certificat, car il peut s'agir de celui qu'ils ont créé) ou que vous avez créé le certificat vous-même, la solution la plus simple consiste simplement à appuyez et maintenez sur tous les certificats inconnus trouvés dans la catégorie «utilisateur» de la catégorie «certificats de confiance» et supprimez-les (le bouton de suppression est situé en bas du volet d'informations). Moins il y a de détails non identifiés (en particulier dans votre liste de certificats), mieux c'est.
Si vous avez un certificat légitime qui génère l'erreur parce qu'il se trouve dans la liste «utilisateur» au lieu de la liste «système», vous pouvez (à votre propre discrétion et à vos propres risques) déplacer manuellement le certificat de la liste des utilisateurs / répertoire vers le liste / répertoire système. Ce n’est pas une tâche à entreprendre à la légère, donc si vous n’êtes pas totalement convaincu que le certificat de la liste «utilisateur» est sûr parce que soit 1) vous l’avez créé, soit 2) le personnel informatique de votre entreprise a vérifié qu’il s’agissait d’un de leurs certificats , vous ne devez pas tenter de déménager.
Si vous êtes sûr de la sécurité et de l'origine du certificat, l'ingénieur et passionné d'Android Sam Hobbs a un guide d'instructions clairement écrit pour déplacer manuellement vos certificats et un autre programmeur et passionné Felix Ableitner a une application open source qui effectue la même tâche sans le travail de ligne de commande. Encore une fois, à moins d'avoir un besoin pressant (et bien compris) du certificat, nous vous déconseillons.
Vous avez une question technique urgente? Envoyez-nous un e-mail à [email protected] et nous ferons de notre mieux pour y répondre.
