Google crypte les sauvegardes Android Cloud avec votre mot de passe d’écran de verrouillage

Dans le but de sécuriser les données des utilisateurs tout en préservant la confidentialité, Google a annoncé une nouvelle mesure de sécurité pour le service de sauvegarde Android.

Qui chiffre désormais toutes vos données de sauvegarde stockées sur ses serveurs cloud de manière à ce que même l’entreprise ne puisse pas les lire.

Google permet aux utilisateurs d’Android de sauvegarder automatiquement leurs données et paramètres d’applications essentiels sur leur compte Google, ce qui leur permet simplement de les restaurer, le cas échéant, au lieu de reconfigurer toutes les applications après le formatage ou le basculement vers un nouveau téléphone.

Cependant, jusqu’à présent, vos données de sauvegarde n’étaient ni chiffrées ni visibles pour Google. À présent, la société va modifier sa procédure de stockage.

En commençant par Android Pie, Google va chiffrer les données de sauvegarde de votre appareil Android de la manière suivante :

Étape 1 : votre appareil Android générera une clé secrète aléatoire (inconnue de Google),

Étape 2 : la clé secrète sera ensuite chiffrée à l’aide de votre code PIN / modèle / mot de passe lockscreen (inconnu de Google),

Étape 3 : cette clé secrète protégée par mot de passe sera ensuite envoyée en toute sécurité à une puce de sécurité Titan sur les serveurs de Google.

Ainsi, vos données Android ne seront cryptées ou décryptées que si le Le mot de passe lockscreen est autorisé par la puce de sécurité Titan.

"La puce Titan est configurée pour ne libérer la clé de déchiffrement de sauvegarde que si une revendication correcte est dérivée du code d’authentification de l’utilisateur", écrit Google.

En d’autres termes, la clé de sécurité Titan ne décryptera aucune de vos données de sauvegarde à moins qu’elle ne détecte le code d’accès lockscreen que vous avez utilisé pour demander le déchiffrement.

Pour empêcher les attaques par force brute, la puce Titan de Google bloquera en permanence l’accès aux données de sauvegarde si quelqu’un entre plusieurs fois des combinaisons de codes erronées pour tenter de le deviner.

"Le nombre limité de tentatives incorrectes est strictement imposé par un micrologiciel personnalisé de Titan qui ne peut pas être mis à jour sans effacer le contenu de la puce", explique Google.

"De par sa conception, cela signifie que personne (y compris Google) ne peut accéder aux données d’application sauvegardées d’un utilisateur sans connaître spécifiquement son code secret."

Google a également retenu les services du groupe NCC, spécialiste de la
cybersécurité et de la réduction des risques, pour réaliser un audit de sécurité complet de la nouvelle fonctionnalité de sauvegarde / restauration d’Android Cloud.

NCC a découvert quelques problèmes qui ont été rapidement résolus par la société.
Google n’a pas encore confirmé que les smartphones Android pourront utiliser cette couche de sécurité supplémentaire, mais il est clair que l’appareil doit exécuter le dernier système d’exploitation Android 9 Pie.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 11 |

Actu en image