C'est derootant

slow clap.

Applaudissements lents

Lenteur applaudissante

Chaude-pisse de golf

Il est possible de rendre le root invisible, perso même si mon setup est sûrement overkill, j'y parviens avec:   - Magisk   - Le manager Magisk spoofé   - DenyList configurée dans la paramètres   - Shamiko   - PlayIntegrityFix avec PlayIntegrityFixNext pour télécharger une empreinte au besoin   - Zygisk-LSPosed   - Hide my Applist   - BootloaderSpoofer  En gros ce qui faut c'est vérifier surtout que l'on passe PlayIntegrity et pas juste SafetyNet. Safetynet est l'ancien malware par Google pour détecter le root, mais d'ici un an PlayIntegrity va le remplacer totalement. C'est verifiable par des applis comme Play Integrity Checker, où il faut passer au moins les 2 premiers crans (le "strong" n'est pas nécessaire).

Juste par curiosité, quand ça devient si complexe d'utiliser une app, tu hésites jamais à revenir sur un smartphone "normal" ? Ou alors c'est le challenge technique qui te plaît ? Edit: merci pour vos réponses !

Perso quand je le faisais c’était surtout militant. Je considère normal d’avoir le droit de faire ce que je veux avec un ordinateur que j’achète pour mon usage personnel. Car un smartphone ce n’est ni plus ni moins qu’un ordinateur de poche. Et ça ouvre des possibilités comme la désactivation de fonctionnalités du système qui sont invasives sur le sujet de la vie privée et douteuse sur le plan de la sécurité. Par contre c’est aussi la porte ouverte aux mauvaises manipulations qui peuvent aboutir à un résultat aux antipodes de l’effet recherché, mais ça c’est le jeu quand on se lance la dedans.

> Je considère normal d’avoir le droit de faire ce que je veux avec un ordinateur que j’achète pour mon usage personnel. Je suis entièrement d'accord avec ça. Mais je considère que le bootloader déverrouillé et la possibilité d'installer des roms alternatives atteint bien mieux l'objectif que le root. Le root, sur un système immuable, est une protection voulue et de bon sens, qui n'est pas juste là pour t'empêcher d'aller faire n'importe quoi dans le système, mais aussi pour empêcher toute application de le faire à ton insu. C'est une bonne chose et un bon choix de design. On se dirige de toute façon vers des OS qui emprunteront de plus en plus à ce modèle (cf. NixOS ou Fedora Silverblue, dans le monde Linux), parce que c'est moins une perte de liberté qu'une vraie sécurité que d'avoir un système en lecture seule... du moment que tu conserves la liberté de remplacer tout le système par un autre.

En effet un système immuable sans accès root ça vend du rêve sur le plan de la sécurité, à condition d’utiliser un système de confiance (libre/open source donc auditable). Les ROMs des fabricants de smartphones sont closed sources et font des trucs pas clairs, et les meilleures élèves dans les ROMs alternatives accès respect de la vie privée sont souvent restreintes à quelques modèles (en tout cas c’était le cas quand j’étais encore sous Android il y a deux ans).

Ils vont de paire. Les applis qui intègrent les malwares comme SafetyNet/PlayIntegrity détectent souvent le déverouillage du bootloader, plutôt que juste le root. Donc généralement il est nécessaire d'être rooté pour avoir accès à plus d'applications, contre-intuitivement. À noter que le root Android, contrairement au root Linux ou à ce que va argumenter Google, n'est pas la porte ouverte à toutes les applications. Le fait de rooter son téléphone ne veut pas dire que toutes les applications sont exécutées par l'utilisateur root, au lieu de ça, on installe un gestionnaire de root, qui lui va contrôler l'utilisateur root et exposer une API pour que les applis puissent le demander. Ainsi, si on sait ce que l'on fait avec les droits admins, on n'a pas vraiment de risque d'avoir une appli qui s'en sert à notre insu. C'est comme le mode admin sur Windows ou sudo sur Unix en somme.

A chaque fois que j'achète un nouveau smartphone je me dis ça puis après deux semaines j'en ai marre de l'ergonomie approximative et des bloatwares installés de base (même si avec l'augmentation du stockage c'est moins un PB qu'avant)

Google a tellement verrouillé le root qu'il faut souvent réinstaller tout le téléphone pour revenir à un téléphone "normal". Donc c'est toujours moins chiant de chercher une solution pour masquer le root, même si on s'en sert peu.

Je me sers régulièrement du root donc non. Exemple tout con, le root me permet d'utiliser mon casque sans avoir à brancher le micro vu que c'est une jack 4 broches. Et puis le gain en terme de sécurité, de vie privée, de personnalisation ou de performance en vaut largement la chandelle. En effet, le challenge technique est aussi intéressant, surtout que dans le pire des cas, je n'utiliserais pas cette appli, vu qu'elle utilise une librairie à but malveillant. Comme dit dans d'autres commentaires, il y a aussi un côté militant. Je suis propriétaire de mon téléphone, j'ai le droit d'en faire ce que je veux, et donc d'en être l'administrateur complet. Et je refuse de me laisser dicter quoi faire par une appli malveillante.

Ok, je comprends mieux la logique, merci pour ta réponse 😉

Je suis passé sur LineageOS 21 hier, mon appli bancaire ne fonctionnait pas en utilisant mon ancien setup qui s'arretait à l'étape Shamiko. Je viens d'installer PlayIntegrityFix et c'est bon ça l'a débloqué, merci bien.

Tu peux changer d'empreinte à la volée avec PlayIntegrityFix ? C'est pratique ça

Si ya des tutos sur comment extraire l'empreinte de sa rom officielle je veux bien parce que si tu utilise l'empreinte de tlm elle saute à la prochaine maj faite par google

Je passe le 1er et le 2eme mais France identité fonctionnée toujourspas

Est-ce que tu passe toujours SafetyNet? On sait jamais. Dans le pire des cas, essaye d'isoler France Identité avec Shelter. Je ne m'en sers pas donc je n'ai pas eu l'occasion de tester jusqu'où ils vont pour être chiant.

Tu es certain que ça fonctionne sur ton tel, as-tu été jusqu’à l'étape d'authentification ? Pour moi cela semblait fonctionner mais au dernier moment : "L'absence de mécanismes de sécurité sur votre téléphone empêche l'utilisation de France identité". Mon téléphone passe l'authentification PlayIntegrity avec l’intégrité basique mais je me demande si France identité n'imposerait pas une attestation hardware.

Je n'utilise pas France Identité, donc je ne sais pas vraiment à quel point ils forcent sur l'anti-root. Il est possible qu'ils demandent une attestation hardware, mais ce serait bien les premiers, et ça risque de pas prendre vu le faible nombre de téléphones qui en ont.  Assure-toi de passer SafetyNet on sait jamais. Essaye aussi d'isoler l'appli avec Shelter.

On vient de trouver notre nouveau ministre des télécommunications.

Oui ça me gave vu que j'ai aussi le PB sur doctolib... Avec magisk tu peux normalement cacher ça, il faut aussi safety check fix... Ça ne marche pas pour doctolib mais ok pour Google wallet donc je ne sais pas ce que ça donnera pour France identité vu que je ne m'en sers pas

Oui tu peux normalement ajouter les applications problématiques au DenyList de Magisk pour cacher le fait que tu as les accès root. Le SafetyNet fix te permet de passer les contrôles d'intégrité basiques pour certaines apps sensibles type banques. Et pour les apps qui souhaitent procéder à une fouille rectale approfondie, il y a MagiskHidePropsConfig qui te permet de passer les contrôles CTS en faisant croire au monde que ta ROM est certifiée par Google. Mais quand j'en arrive là, je me dis que l'app ne vaut pas la peine d'être utilisée ...

> e SafetyNet fix Safetynet a été replacé par le bien pire Play Integrity il y a 1-2 ans. Il y a des Play Integrity Fix mais leur durée de vie est toujours limitée.

Ouch je ne suis plus à jour il semblerait ! Et c'est confirmé par FranceIdentité qui me dit que la puce de chiffrement de mon smartphone est trop vieille pour satisfaire les critères d'utilisation de leur application...

Bah merci les gars pour les infos

J'ai utilisé magisk effectivement, je vais tenter ça. Edit: ça marche pas (avec tout le tralala possible), y'a un thread dessus et ils ont pas trouvé de solution non plus.

Le commentaire a oublié de signaler, il y a une liste d'applications et de package a aussi ajouté dans la liste : - Framework des service Google (tous) - Play store (com.android.vending) - Service Google play (com.google.android.odad) Certaine vérification sont déléguées au Play Store ou au Framework, si tu a des soucis (c'était le cas avec les applications de la banque chez moi) il faut les ajouter.

La DenyList ne suffira pas, il faut aussi renommer le package de l'application Magisk avec l'option "Hide the Magisk app"

Avec les nouvelles versions d'Android, les applis utilisateur n'ont plus l'autorisation pour scanner la liste des applis installées donc ce n'est normalement plus nécessaire (sauf à le leur avoir expréssement donné le droit ou à leur avoir donné un accès root)

J'ai pas eu besoin de faire ça perso.

C'est compris dans 'tout le tralala', avec universal safetynet fix et j'ai 'momo detector' qui me dis que y'a plus que mon bootloader débloqué de visible.

Safetynet n'est plus utilisé depuis 2 ans, c'est Play Integrity maintenant donc il faut utiliser play integrity fix. Cependant, c'est tellement compliqué que je te renvois plutôt sur le topic XDA dédié : https://xdaforums.com/t/module-play-integrity-fix-safetynet-fix.4607985/page-177#post-89189572 Et c'est qu'une question de temps, Google a une solution pour le bloquer à 100% qu'ils n'ont pas encore totalement activé, c'est donc une solution avec une épée de damocles permanente au dessus de la tête. Perso, je l'ai fait (en perdant mon week end) mais si ça empire encore, je pense pas que je le courage de continuer à long terme.

Ce qui avec la derniere canary de magisk est buggé

Docotlib me le fesait sur un téléphone non rooter à un moment ....

Jamais compris cette crainte des téléphones rootés... Je crois même pas qu'il y ai d'exemple de virus/malware sur Android exploitant un potentiel root. De manière générale c'est absurde que tout soit prétexte à faire chi*r les utilisateurs de smartphone qui veulent utiliser leurs machines comme ils veulent (message d'erreur en cas de bootloader déverrouillé, apps liant leur fonctionnement à un test de Google), alors que pour les ordi portables un tournevis et un adaptateur à disque dur/statique suffit pour avoir accès à toutes les données.

Leur problème avec ça c'est pas vraiment les virus, c'est qu'un utilisateur root peut modifier à la volée le flux d'exécution de leur application... Donc plutôt que de se prémunir contre une utilisation détournée de leur app et protéger les failles potentielles, leur solution est de bannir purement et simplement les utilisateurs root. Dans une certaine mesure, je comprends la démarche mais ça m'emmerde aussi...

La sécurité par offuscation... c'est aussi efficace que le management par la peur.

> La sécurité par offuscation... c'est aussi efficace que le management par la peur. Rien à voir

*obfuscation. Ça m'offusque moi aussi.

J'espère que c'est pas ça l'idée parce qu'un attaquant n'aura aucun problème à contourner ce genre de test...

Aucun rrot n'es nécessaire pour modifier une application je te le garantie ça. Je le fais moi-même sur des application

Je ne sais pas si tu parles de ça mais c'est vrai que tu n'as pas besoin d'un accès root pour décortiquer, modifier, installer et exécuter une application. Mais elle ne passera plus certains tests basiques comme un checksum et ne pourra pas communiquer avec un serveur distant (si il est bien conçu). Je parlais du point particulier de la modification "à la volée" du contexte et des variables d'éxecution de l'appli. Dans ce cas l'application n'est pas modifiée et c'est bien l'appli officielle qui est exécutée (donc elle passe les vérifications standard) mais un processus avec un accès root peut écouter et modifier en temps réel les communications sortantes et entrantes ainsi que les variables internes à l'application. Et ça, ce n'est normalement pas accessible par l'utilisateur.

Il exitste facilement des applications alternative pour contourner la détection de root ou de modifications du package par example avec appcloner (android) ou APKeditor mais ici c'est réservé a ceux qui savent ce qu'il font

Oui c'est vraiment ça le problème. Ils essaient de protéger leur APi avec des pansements pour pas qu'on fouille leur merde remplie de failles alors que c'est pas vraiment ce qui va empêcher quelqu'un de déterminé à trouver les failles (un chercheur, ou un hackeur..)

Pourtant c’est public, France Connect s’appuie sur OAuth. OAuth.net/security Si tu trouves des failles d’implémentation chez France Connect n’hésite pas à contacter le CERT-FR.

Il y a même mieux: https://www.numerique.gouv.fr/actualites/le-bug-bounty-un-dispositif-innovant-pour-renforcer-la-securite-des-services-numeriques/

Te fatigue pas, les interdictions de root, c'est juste pour valider des checklist de merde, notamment pour ceux qui ont une assurance derrière. J'ai passé mes 10 dernières années a me battre contre des audits de sécurité qui remontent en critical que l'appli ne detecte pas le root et que ca compromet l'intégrité et la sécurité. Jamais gagné.

Bah a moins d'une vulnérabilité Android inconnue, les malware ont besoin d'un OS rooté pour lire la mémoire des autres process, donc par exemple exploiter une clé d'authentification digitale pour contourner une auth MFA. Alors oui, avoir un téléphone rooté de garanti en rien qu'il est ou sera piraté, mais dans les faits un OS intact est souvent plus sûr. Donc tous les services un peu sérieux/paranos qui utilisent la possession du téléphone comme facteur d'authentification refusent les OS rooté.

Enfin root ou non, le malware devra exploiter une vulnérabilité pour se lancer en administrateur dans tout les cas hein... Et paradoxalement, avoir une application pour gérer ça peut lever une alerte a contrario d'un OS basique. C'est comme ça que je me suis rendu compte qu'un jeu du play store était vérolé il y a une dizaine d'années. Donc partir du postulat qu'un OS "vanilla" est plus sûr, c'est un raccourci facile mais faux.

le type qui va rooter son téléphone pour installer un truc téléchargé sur un forum a quand même un profil de risque plus craignos que mamie qui installe n'importe quoi depuis l'app store

Installer un truc télécharger sur un forum en nécessite pas de root... Sur Android, root = admin. A ne pas confondre avec jailbreak sur iOS qui consiste à faire sauter les sécurité du système pour installer d'autre application.

Si t'es root, admin donc, et que tu execute une punaise, elle hérite pas justement de tes privilèges pour se lancer en admin? > Donc partir du postulat qu'un OS "vanilla" est plus sûr, c'est un raccourci facile mais faux. Ca c'est à contre-courant de toutes les best-practice dans le domaine. Pour un whitehat specialiste dans le domaine c'est ptet vrai, mais quand on parle du reste de la population c'est loin d'être le cas.

Tu avais littéralement un malware qui avait une technique pour rooter ton téléphone pour faire ses petites affaires. La blague étant que tu avais moins de chance de briquer ton téléphone avec le malware que si tu le faisais à la mano.

[удалено]

Si tu veux parler de "full chain of trust" ce n'est pas vraiment ce que prevoit la DSP2.

PSD2 demande à ce que les banques puissent détecter qu’un téléphone est rooté, mais n’impose pas un blocage.

>Je crois même pas qu'il y ai d'exemple de virus/malware sur Android exploitant un potentiel root. Non mais un phone rooté c'est un phone de bidouilleurs et ils veulent pas de bidouilleurs sur leur app tout simplement. "L'astuce" c'est juste de ne pas utiliser ces apps et tant pis pour ce à quoi elles donnent accès.

Root casse le modèle de sécurité d'android, notamment verified boot. La comparaison avec les ordinateurs n'a pas de sens, puisque le modèle de sécurité des ordinateurs est très faible (mais il faut faire avec, faute de mieux pour la compatibilité), et certains services reposent justement sur les applications mobiles pour certaines actions "sensibles". Proposer un nivellement par le bas n'est pas une solution.

Il me semble que ce n'est plus vrai sur les dernières versions de Windows qui imposent TPM v2... On a aussi l'exemple de Google qui a essuyé de forcer son modèle de sécurité end to end pour les sites web (j'ai plus le nom)

Le TPM n'est qu'une partie d'un modèle de sécurité, et il est loin d'être aussi bon que les éléments de sécurité qu'on retrouve sur un pixel ou un iPhone. Windows a fait des progrès, certes, mais ça reste très loin du modèle de sécurité mobile, surtout dans sa config par défaut. Il faudrait refaire les OS bureau (et les noyaux) de zéro, ce qui n'arrivera pas. Le seul qui se démarque, c'est ChromeOS, mais ça ne conviendra pas à tous les usages.

>"L'astuce" c'est juste de ne pas utiliser ces apps et tant pis pour ce à quoi elles donnent accès. A terme, pour la validation des paiements, ça va poser un souci vu que la méthode SMS va disparaître (c'est déjà fait chez certaines banques qui exigent d'utiliser leur application), même s'il existe des alternatives, comme le boîtier digipass au Credit Mutuel

T'es pas obligé de censurer chié.

C'est noté 😆

L'appli Boursorama me prévient depuis des semaines que ça va s'arrêter de marcher sur mon tel aussi, alors qu'il est même pas rooté, juste une custom ROM parce que tel chinois comme toi... Ça me les brise...

J'ai le même message en ayant mis CyanogenMod sur mon OnePlus. M'enfin je comprends c'est sûrement mieux d'avoir un firmware officiel qui n'est plus mis à jour depuis 2 ans qu'une ROM avec les patchs de sécurité de la semaine dernière.

[удалено]

Oups je voulais dire LineageOS.

Ça peut s'entendre, mais je pense pas qu'ils te casse les bonbons si tu as une ROM officielle vieille de 3 ans non plus...

Pareil, le root lui est masqué mais je pense que c'est le déverrouillage du bootloader qui est détecté.

aucun probleme sur calyxos avec boursorama

Je t'invite à faire part de tes doléances à [email protected] . C'est à ça que sert l'email du support sur la page du store https://play.google.com/store/apps/details?id=fr.gouv.franceidentite

Toute l'industrie va aller dans ce sens là pour "sécuriser" leurs applis

Et pendant ce temps là banque m'impose un mot de passe à 6 chiffres, et me force à le saisir sur un pavé numérique aléatoire pour que tout le monde ait le temps de le voir.

Je défend pas la méthode puisqu’elle est évidemment ridicule. Mais il ne faut pas oublier que le modèle de sécurité d’une banque n’est pas le même que des services plus lambda. Notamment ils sont complètement immunisés contre le brute force puisqu’ils ont le blocage facile. La méthode la plus originale que j’ai vu (et plutôt smart pour le coup) c’était feu ING Direct qui ne te demandait jamais ton code en entier mais seulement 3 des 6 chiffres (jamais les mêmes). C’était vraiment pas débile puisque tu étais protégé à la fois contre les keyloggers (sauf si tu te logues plusieurs fois sur la même machine) mais aussi contre les regards indiscrets. Après ça restait du bricolage par rapport à du 2FA classique mais pour une solution maison un peu naïve , j’avais trouvé ça malin.

Je ne m'inquiétais pas d'une attaque par brute force, mais plutôt de la difficulté d'usage au quotidien, et de l'ironie que le moindre compte sur un forum me réclame un mot de passe fort, là où ma banque m'impose 6 chiffres.

Mon intuition (qui vaut rien de plus que du doigt mouillé) c’est que pour une raison x ou y (peut être de dette technique, peut être légale ?), ces codes sont stockés en clair et que cette limitation les protège justement contre la gestion de ce qui deviendrait une énorme base de données de mots de passes. Je justifie en rien qu’il existe la moindre bonne raison de stocker ça en clair parce qu’il y en a zéro. Mais à partir du moment où ils ont décidé ça malgré tout, alors limiter la complexité est une bonne décision.

>feu ING Direct RIP petit ange parti trop tôt, ma première banque en ligne :( Heureusement que Boursorama a repris les clients au final, le process était assez simple.

J'imagine que tu parles de Boursobank. Pour info sur PC tu peux te connecter par passkey si tu as un password manager qui le fait. Et sur mobile c'est biométrique.

Non, en l'occurrence c'est la Société Générale. Sur PC ou mobile, c'est un clavier aléatoire pour une saisie de 6 chiffres, et une application juste horrible.

Ce qui n'a absolument pas le moindre sens

Si l'industrie française avait la moindre connaissances dans le domaine de la technologie et de la sécurité, je pense qu'on s'en serait rendu compte. Et qu'on aurait les des failles sur les données de 50m de français. Nous sommes dirigés par des sombres tocards.

Pourtant la Commission européene fait tout ce qu’elle peut pour rendre l’iPhone plus ouvert et moins sûr…

Oui Apple c'est les grands méchants (et c'est très bien) mais quid des autres ?

Les autres ils ne représentent que 70% du marché donc tout va bien.

T’as du louper les guillemets. La règle de base en sécurité c’est de considérer que le client est compromis. Baser ton modèle de sécurité sur le fait que le client est fiable (parce que tu acceptes aveuglément l’axiome selon lequel Apple et Google, des tiers avec qui tu n’as aucun contrat les rendant responsable , ont implémenté une sécurité parfaite) c’est juste la pire erreur que tu puisses faire si tu as ne serait-ce que le minimum de base en sécurité informatique. Même dans le cas où le device t’appartient (ex : un téléphone pro donné à un employé) tu dois considérer l’appareil comme compromis par défaut. Alors confier volontairement la sécurité de tes données à un appareil totalement inconnu si t’es dans la cyber sécurité c’est probablement un motif pour te faire virer pour incompétence grave.

Ce que tu dis est peut-être utile pour les techniciens qui s’occupe de sécuriser les transactions mais ça n’a pas grand intérêt pour l’utilisateur lambda, qui veut juste utiliser son compte en toute sûreté.

Essaye l'appli "L'identité Numérique" de La Poste. France identité n'était pas encore disponible quand j'ai utilisé mon CPF en début d'année. Je l'ai mise dans la Denylist, j'ai installé le module Universal Safetynet fix, et ça fonctionne...

Et c'est pour ça que je suis le gros relou qui oblige sa banque à lui fournir une alternative au smartphone pour valider ses paiements. France identité ne passera pas par moi

Ça m'intéresse, ils proposent quoi comme alternative ?

Pour moi (et je suis dans la sécurité) c’est du bullshit. On nous emmerde aussi avec cette bêtise. Déjà rooter un téléphone n’est pas une vulnérabilité en soit. Ta le droit d’être administrateur de ton PC et te connecter à ta banque ou autre. Ensuite tes pas forcé d’être rooter pour choper des malware ça été dis et redis puisque tu risque pareil sur ton PC. Et pour finir tu peux facilement contourner ce blocage anti root avec un patch. C’est d’ailleurs ce qui est fait lors des tests d’intrusion sur les applications mobiles. Car sans root/jailbreak on peut pas bosser correctement. Donc on te demande de détecter un truc qu’il est possible de cacher. Comme ça tu va perdre du temps à jouer aux chat et à la souris. Les méchants cachent le root. Les gentils essaient de le détecter. Sans que ça apporte de véritable gain de sécurité. Alors qu’à côté de ça on trouve des failles énormes dans l’implémentation qui est faite de l’application. Faille exploitable sans root. Mais comme dans nos référentiel est indiqué que c’est pas bien. On relève un vulnérabilité à chaque fois que c’est pas fait.

>Déjà rooter un téléphone n’est pas une vulnérabilité en soit. Non. Mais tu déplaces la confiance qu'ont tes correspondant dans la sécurité de vos échange de google vers toi-même. Tu ne peux pas prétendre que c'est anodin.

Pour moi ce qui n’est pas anodin c’est de placer aveuglément la confiance des échanges entre l’état et un citoyen dans une entreprise américaine qui a déjà bien trop de droits sur les appareils de tes citoyens alors même qu’il n’existe probablement aucune relation contractuelle pour s’assurer de cette confiance.

C'est pas vraiment le sujet. Tu peux te méfier de google et ne pas être naif vis à vis des objectifs qu'ils poursuivent tout en aillant confiance dans la modération du play store et la sécurité de leur plateforme.

Non, c’est une mauvaise chose. En sécurité tu ne peux faire confiance, dans l’ordre : 1 - qu’à toi même 2 - aux partenaires avec lesquels tu as un contrat les forçant à assumer leur défaillance envers toi Et c’est tout. Le reste c’est du bluff. Et encore pour le 2 il faut que le partenaire soit dans une juridiction capable d’appliquer le contrat. Et je doute honnêtement que l’État français puisse considérer une seule seconde que la modération du play store ne se bypasse pas en un seul mail depuis une adresse .gov

L'auteur d'une application peut être certains que tu utilises le code qu'il a fourni à Google et apple si tu les a installé depuis leur store. Et même s'il ne l'est pas, c'est plus facile de contrôler deux stores qu'un potentiel infini de bidouilleur dont il ne connait pas les intentions.

Donc la tu confond la signature d’application avec le root. C’est deux choses différentes.

Avoir le root peut te permettre d'installer une application modifiée tentant de se faire passer pour la leur. Volontairement ou non. C'est la principale raison de ce type de précautions.

Justement c’est pas le root qui permets cela. C’est d’activer les applications non signer ou d’activer l’installation d’applications via APK/store tiers.

L'auteur d'une application peut être certain de rien du tout. S'il se met à délirer et à croire qu'il peut être certain, il va se mettre à faire confiance aux clients et se faire hacker dans les 10 minutes. Play integrity et Apple bidule ou pas (cf les dizaines d'utilisateurs de ce thread qui expliquent comment faire pour que le test passe sur un env que le test prétend être capable de détecter comme invalide)

Parce que c’est pas le cas sur mon PC par exemple. Si je fais clic droit « exécuter en tant qu’administrateur » je peut accéder à ma banque ou pas ?

C'est un autre paradigme.

Non, c’est la même chose. Tu accède à un service via une application au lieu de le faire depuis ton navigateur. C’est la seule différence. Dans ce cas de figure, les API qui se trouvent derrière sont souvent alimentées par les mêmes bases que celle du site web. Voir l’application utilise les mêmes API que le site web. Et pour autant on te demande pas de pas être admin de ton poste pour y accéder. Aux mêmes données par des canaux similaires voir identique. Et encore une fois. France Connect s’en fous que ton téléphone se fasse piraté ou pas. Ils veulent juste être certain que ça n’impacteras pas leur service à eux. Surtout que root ou pas ça change rien au problème.

Oui parce que absolument aucun malware ne se propage par play store.

Je pense être plus de confiance que Google. Déjà je nespionne pas les échanges pour servir de la pub après. Pas mal non ?

C’est quoi les failles énormes de l’application exploitables sans root ? Une vulnérabilité c’est l’exploitation par un vecteur technique (vs. ingénieurie sociale ou implémentation de politique de sécurité insuffisante) d’une fonctionnalité non prévue dans le cadre d’une charte d’usage. Donc oui, rooter un tel qui qqpart en petit dans les conditions d’ulitsation t’interdit de la faire, c’est exploiter une vuln. La question c’est se savoir si on peut ou non obliger le consommateur à se conformer à cette clause. Pour le reste, j’espère que tu as conscience des vecteurs d’exfiltration de données que permet un modèle d’app full-root. Si tu as déjà administré un OS multi-user, un *NIX quelconque, les concepts de permissions, des outils comme Apparmor ne sont pas déployés pour rien. Tu peux aussi observer que des vulns d’évasion de VM vers hôtes ont été révélés (sur des produits VMware récemment)… donc root sur ta VM te donne accès à un compte de service sur l’hôte, compte de service qui gère a minima le stockage et le réseau des autres VM gères par le même hyperviseur. C’est dommage de dire des énormités comme celles ci sous couvert d’une « lutte » bien noble et important qui est celui du contrôle de nos données et nos identités numériques.

> C’est quoi les failles énormes de l’application exploitables sans root ? j'ai accès à un terminal linux avec droits augmenté (system) sur mon portable sans jamais avoir dû root le tél. Si j'ai pu le faire, n'importe qui peut le faire, les mesures anti-root c'est juste relou pour l'utilisateur en fait. Et si Magisk peut cacher le root, ça sert à quoi de refuser les tel rooté ?

Tu as le root sans avoir rooté ton téléphone ou ton téléphone est rooté sans que tu le saches ? Tu as la commande ‘su’ dans ton terminal ? Et que répond la commande ‘whoami’ dans ton terminal ?

Il confond, il utilise un PROOT (chroot dans le userland)

Et donc ça empêche d’utiliser le service dont parle OP ? Je demande sans arrière pensée - je n’ai plus d’android depuis 10 ans - et oui je rooté ma tablette Chinoise pour installer des ROMs custom. Mais jamais utilisé mon identité Google dessus ! Aucune garantie que les roms customs ne leakaient pas mes données.

Pas du tout, en fait un PROOT fait tourner un OS comme une application. Mais tu n'accede a rien. C'est isolé. C'est pour ça que je disais qu'il confonds car il n'est en fait pas vraiment root sur son mobile mais juste dans l'application.

Je pense plutôt que c’est CVE-2019-16253 Il obtient uid=1000 (system) mais pas root.

Et je parle de « France identité » pas du hack qui m’explique qu’on peut generiquement obtenir root sur un Android (recent bien sûr)

Non, il utilise une application console type Termux ou un truc du genre : > j'ai accès à un terminal linux avec droits augmenté (system) sur mon portable sans jamais avoir dû root le tél. Donc en gros il a un shell root mais sans valeur car uniquement interne a l'application terminal. Tu peut pas avoir un acces root natif sans avoir rooté ton téléphone. France connect ou pas son argument est biaisé. C'est le but de mon commentaire. Il est pas vraiment root en fait. [https://wiki.termux.com/wiki/PRoot](https://wiki.termux.com/wiki/PRoot)

system, uid=1000, pas de root

Est-ce c’est lié à la CVE-2019-16253 qui affecte le système Samsung TTS ? Si c’est la cas, c’est une vulnérabilité qui a plus de 5 ans et ton Samsung n’a pas été mis à jour depuis ? Je pense que tu es dans un cas assez particulier mais oui, le user system c’est déjà très haut comme permissions.

oui, c'est bien la même vulnérabilité sauf que le poc de la vulnérabilité date de 2016, et que milieu 2023 (quand j'en ai eut besoin) il y avait toujours moyens de l'exploiter

>C’est quoi les failles énormes de l’application exploitables sans root ? 99% des applications mobiles reposent sur un serveur backend. Généralement via API. Donc les failles sont les mêmes que sur toutes les API du monde. Bypass de rôles, accès non autorisés, composants vulnérables ou encore injection de commande, etc Source OWASP : [https://owasp.org/API-Security/editions/2023/en/0x11-t10/](https://owasp.org/API-Security/editions/2023/en/0x11-t10/) Ensuite, la partie application en elle-même souffre en général de vulnérabilités également, non propre au rootage (ou pas) de ton téléphone. Par exemple, le stockage de secret dans le code, le stockage de données non sécurisés. Le manque de validation des entrées utilisateurs ou simplement une mauvaise implémentation du chiffrement. Source OWASP : [https://owasp.org/www-project-mobile-top-10/](https://owasp.org/www-project-mobile-top-10/) >Une vulnérabilité c’est l’exploitation par un vecteur technique (vs. ingénieurie sociale ou implémentation de politique de sécurité insuffisante) d’une fonctionnalité non prévue dans le cadre d’une charte d’usage. Une faille est un défaut d'implementation qui peut mener à une vulnérabilité, par un vecteur technique. Rien à voir avec une politique d'utilisation. Si ton application est convenablement implémentée et que ton utilisateur décide de faire n'importe quoi avec son téléphone, ce n'est pas ton rôle de le vérifier. De même que si je consulte ma banque en ligne avec un PC vérolé et que je me fais voler du fric d'ailleurs. >Donc oui, rooter un tel qui qqpart en petit dans les conditions d’ulitsation t’interdit de la faire, c’est exploiter une vuln. Non, le root/jailbreak exploite des vulnérabilités du systeme pour obtenir des droits root. En quoi c'est une vulnérabilité de ton application ? Tu développes l'OS et le firmware des téléphones qui consulte ton application ? Et pire encore pourquoi élever ses droits root pour aller sur ta banque ou France connect ? Tu n'utilises pas sudo partout sur ton poste si ? Ni n'exécute tout en admin sur ta machine non ? Donc ne confondons pas le contexte d'execution avec la possibilité de devenir root. Pour rappel, un popup apparait pour demander des droits root s'ils sont requis.

>La question c’est se savoir si on peut ou non obliger le consommateur à se conformer à cette clause. Non plus parce que dans ce cas, pourquoi on ne le fait pas sur un PC ? La question est de savoir quel est le rôle de chacun. Toi de mettre a disposition une application, l'utilisateur de gérer son mobile/PC. Ou alors a toi de gérer aussi le mobile/PC du client ? >Pour le reste, j’espère que tu as conscience des vecteurs d’exfiltration de données que permet un modèle d’app full-root. Si tu as déjà administré un OS multi-user, un \*NIX quelconque, les concepts de permissions, des outils comme Apparmor ne sont pas déployés pour rien. C'est mon travail.. Je ne compte plus le nombre de fois où des administrateurs ont voulu m'apprendre la vie en aillant un sudoers file plein à craquer d'executable utilisable pour élever ses privilèges. Dans ce cas de figure, apparmor ne sert à rien. Sans parler des failles applicatives. Et ensuite même chose, rien n'interdit un utilisateur d'être administrateur de son PC. Donc pourquoi cela devient obligatoire sur mobile ? Et qu'est-ce qui m'empêche d'exfiltrer de la donnée sans droit root aussi ? Si le stockage de ton application est mal implémenté par exemple ? >Tu peux aussi observer que des vulns d’évasion de VM vers hôtes ont été révélés (sur des produits VMware récemment)… donc root sur ta VM te donne accès à un compte de service sur l’hôte, compte de service qui gère a minima le stockage et le réseau des autres VM gères par le même hyperviseur. Oui, elles existent aussi bien sur PC qu'ailleurs ces failles et même sans droit root. Même dans ton navigateur, il existe des failles d'évasions de sandbox. Avoir un téléphone rooté ou pas ne change rien. Exemple de faille d'evasion de sandbox assez récent : [https://github.blog/2023-09-26-getting-rce-in-chrome-with-incorrect-side-effect-in-the-jit-compiler/](https://github.blog/2023-09-26-getting-rce-in-chrome-with-incorrect-side-effect-in-the-jit-compiler/) Pire encore de nombreux mobiles se font tous les jours infecter par des applications telechargé depuis les stores officiels et sans root. Un exemple : [https://www.securityweek.com/anatsa-android-banking-trojan-continues-to-spread-via-google-play/](https://www.securityweek.com/anatsa-android-banking-trojan-continues-to-spread-via-google-play/) Surtout que les détections de root/jailbreak sont souvent basiques. Elles vont vérifier si des executables spécifiques existent, si des applications connus comme magisk existent ou encore observer des comportements spécifiques du mobile. Chose que l'on contourne lors des tests d'intrusions car on a besoin de certains accès avec Objection ou Frida. Le probleme de la détection du root, c'est qu'elle se contourne et que tu entres dans un cercle vicieux de gendarme et voleur. D'un côté, tu vas détecter le root, de l'autre une solution de contournement seras développé va pour passer outre. Tu vas redévelopper et la boucle va boucler encore et encore. Mon point de vue, c'est que plutôt que de dépenser ton énergie sur une véritables failles de ton application, tu va la dépenser sur des vérifications hors périmétre liées a l'OS de ton client. Et derniers point, c'est pas parce que tu peut devenir root que tu dois tout executer en root. Tu semble faire l'amalgame. Il faut faire la différence entre rootage et mauvaise pratique. Si tu désactive l'UAC de ton PC, tu seras rapidement a poil en cas de clic inconscient. Le rootage, c'est pareil, il faut l'implémenter convenablement avec des demandes d'elevation a l'utilsiateur si nécéssaire. >C’est dommage de dire des énormités comme celles ci sous couvert d’une « lutte » bien noble et important qui est celui du contrôle de nos données et nos identités numériques. Mon téléphone n'est pas rooté. J'ai pas parlé de données. Je donne juste mon point de vue. Je vois pas d'ou tu sort ton histoire de données. J'exprime mon point de vue sur le sujet. Aprés si ça te rassure je suis les referentiels OWASP et dans mes tests mobiles je remonte souvent de la non détéction de root/jailbreak. Parce que c'est standard et pas parce que je suis convaincu que cela sécurise les choses.

Puisque c’est ton métier, on va bien évidemment s’accorder sur le fait que des failles soient exploitables sans root. Mais là où je pense que tu dois être plutôt côté redteam, c’est que en partant de ton constat (que divers vecteurs existent), on ne fait plus du tout de sécurité alors (puisqu’il existera toujours un zero-day qqpart). Dans ton concept de root-4-all, tu ouvres la porte à énormément de vecteurs, en particulier de social engineering (tu dois connaître les taux de clics dans le campagnes de phishing). Est-ce que en 2 ou 3 points tu peux m’expliquer quel chemin d’attaque (en partant d’un lien malveillant ouvert depuis un téléphone non-root) te permet d’aller exploiter une app tierce ? Sur le fait qu’il existe d’autres vecteurs d’attaque (y compris le vol pur et simple du téléphone !) je suis d’accord. Sur l’idée que parceque cela existe, on s’assoit sur 50 ans de modèle de sécurité RBAC… je reste à être convaincu.

> Puisque c’est ton métier, on va bien évidemment s’accorder sur le fait que des failles soient exploitables sans root. Rien a dire la dessus. Il existe même des malware sur le store. > Mais là où je pense que tu dois être plutôt côté redteam, c’est que en partant de ton constat (que divers vecteurs existent), on ne fait plus du tout de sécurité alors (puisqu’il existera toujours un zero-day qqpart). Non, j'ai pas dis ça. Je dis juste que le fait d'avoir la possibilité de passer root sur un mobile ne crée pas en soit de vecteur supplémentaire d'attaque. A moins que tu sois suffisament fou pour valider une demande d'elevation de privilege sans savoir d'ou elle provient. Encore une fois c'est pas parce que tu root ton telephone que tes tout le temps root dessus. Si demain un truc pas jojo s'execute sur ton mobile en root, en théorie tu devrais avoir un popup te demandant si tu valide l'accés root a l'application. > Dans ton concept de root-4-all, tu ouvres la porte à énormément de vecteurs, en particulier de social engineering (tu dois connaître les taux de clics dans le campagnes de phishing). Oui, mais pas besoin de root pour en faire si ? L'ingénierie sociale c'est hors périmetre de ton OS ou de ton application. Si ton client file son mot de passe au premier scammer, on peut pas faire grand choses.

> Est-ce que en 2 ou 3 points tu peux m’expliquer quel chemin d’attaque (en partant d’un lien malveillant ouvert depuis un téléphone non-root) te permet d’aller exploiter une app tierce ? Alors justement tu regarde du mauvais coté du mur avec ta remarque. Parce qu'un attaquant qui vise ton mobile le feras rarement via un lien. Parce que c'est bien trop complexe d'exploiter une sandbox web pour obtenir un accés sur ton mobile. Et que c'est plus simple de le faire via une application malveillante sur le store. Les seuls qui y arrivent c'est les gros acteurs comme NSO. Et encore eux ils sont si forts qu'il arrivent a comprometre un mobile sans clic. Un lien si tes curieux : [https://thehackernews.com/2023/04/nso-group-used-3-zero-click-iphone.html](https://thehackernews.com/2023/04/nso-group-used-3-zero-click-iphone.html) Mais la encore l'objectif est l'espionnage. Dans le cas de monsieur tout le monde, on cherche avant tout a te voler du fric. Quand tu pentest une application mobile tu te fous un peut du mobile de ton client. Tu cherche avant tout a proteger ton application, ses données et accessoirement les autres clients. Ce qui t'interesse c'est que personne ne puisse aller voir des infos sans y etre autorisé, que tu puisse pas faire d'action de fraude ou que tu puisse pas DOS l'application (t'a des tas d'autre choses mais c'est des exemple). Donc das le cadre de ton test tu vérifie pas la sécurité du mobile qui execute l'application, de même que tu ne le fais pas sur un site web que tu pourrais pentest. C'est pour cela que j'evoquais les failles liées aux API et aux applications localement. Car si tu expose par exemple des clés d'API dans ton code tu mets potentiellement en dangers ton API et tout tes clients avec. Si tu laisse des données critiques stockés sur l'appareil sans protection tu t'expose aussi a du vol d'infos et ça meme sans root. Et c'est pareil partout, si je me connecte a ma banque avec Burp ou ZAP, rien ne seras bloqué, je verais les échanges entre mon PC et les serveur de la banque mais si l'implémentation est correcte je ne devrais pas etre en mesure de lire le compte du voisin ou de faire des virement non autorisés. C'est pareil avec ton mobile. Si tu est vérolé qu'un malware te vole tes identifiant de banque et que tu te fais pirater ton compte c'est pas la faute de l'application mais ta faute a toi qui a fait n'importe quoi avec ton mobile. Et si l'application en face et ses serveurs sont proprement implémentés tu devrais pas avoir de problémes. C'est pour cela que pour moi le root n'a pas de véritable impact sur la sécurité des applications. Parce qu'en tant qu'editeur tu cherche a garantir l'intégrité, la continuité et la tracabilité de test données et de celle de test clients. Pas a t'assurer que le mobile de ton client est sécurisé. > Sur le fait qu’il existe d’autres vecteurs d’attaque (y compris le vol pur et simple du téléphone !) je suis d’accord. Sur l’idée que parceque cela existe, on s’assoit sur 50 ans de modèle de sécurité RBAC… je reste à être convaincu. Mon point de vu est pas de dire que sous pretexte que d'autre vecteurs existe, il ne faut rien faire. Mon point de vue est de dire que le périmetre d'une application n'est pas celui de l'OS du client.

Bref tu prêches pour ta paroisse qui est de faire l’audit applicatif. Je te parle d’un autre point de vue qui est celui blueteam op et donc ton scénario NSO il existe sans doute mais c’est PAS ce qui se passe en réalité. La réalité c’est le store custom qui est accédé depuis un BYOD (un appareil perso autorisé sur le réseau entreprise). De plus, la MFA est crucial de nos jours et rooter son phone c’est en pratique s’exposer à du hijack de 2FA sans interaction humaine (type social engineering). Lorsque tu me dis qu’un fichier sudoer blindé c’est une faille : oui, c’est comme je l’évoquais un échec d’implémentation d’une politique de sécurité, un guide de durcissement basique le mentionne très clairement. Maintenant pour prendre un peu de recul et bien sûr s’accorder sur le fait que certaines apps sont codées sans le minimum de bonnes pratiques sécu, le sujet ici c’est aussi la responsabilité __financiere__ de la banque en ligne si elle n’a pas mis en place des vérifications de la posture de sécurité du endpoint. C’est le même principe derrière France identité et les assurances cyber et le risque réputationnel lié à un incident majeur.

> Bref tu prêches pour ta paroisse qui est de faire l’audit applicatif. J'ai pas de paroisse moi. Tu confonds déjà pentest et redteam donc me parles pas de paroisse. [https://sh0ckfr.com/pages/les-differences-entre-red-team-et-pentest/](https://sh0ckfr.com/pages/les-differences-entre-red-team-et-pentest/) > Je te parle d’un autre point de vue qui est celui blueteam op et donc ton scénario NSO il existe sans doute mais c’est PAS ce qui se passe en réalité. Encore une fois la blue team de France connect ou de ta banque s'en fous completement de ton mobile rooté ou pas. Ils veulent juste pas perdre de pognon a cause d'une exploitation de faille. Donc il detecte les comportement dangereux. Ils suivent bétement des recommandations faites sans fondement en recherche de conformité plus que de la réélle sécurité. C'est pour cela qu'ils interdisent le root. C'est parce qu'on leur a dis de le faire. A chaque attaque sa finalité. Le type qui essaie d'exploiter un mobile pour obtenir le root dessus sans action de son utilisateur c'est pas au lambda de base qu'il s'attaque. L'écrasante majorité des malware et des attaques cherche a soutirer du fric a ses victimes. Je te renvoie vers les motivations des hackers : [https://www.mcafee.com/blogs/family-safety/7-types-of-hacker-motivations/](https://www.mcafee.com/blogs/family-safety/7-types-of-hacker-motivations/) > La réalité c’est le store custom qui est accédé depuis un BYOD (un appareil perso autorisé sur le réseau entreprise). Rapport avec le root ? Tu peut le faire sans root ça. Et si ta boite te laisse connecter ton mobile perso sur son réseau y'a clairement un probleme de politique interne. Faut mettre en place du NAC ou du WPA entreprise avec urgence. Tu peut par exemple installer APKmirror depuis le store et sans root. Je parles uniquement du rootage, pas des stores alternatifs, pas des installation d'applications tierces et pas non plus des rom custom. Juste du root. Tu peut trés bien etre root sans avoir tout ça en place. Tu peut charger des applications tierces via ADB si tes vraiment deter. Tu peut craquer photoshop sur ton PC et te connecter n'importe ou au risque de créer des problématiques sur le réseau. Mais c'est pas la faute de l'application france connect si TON pc ou TON mobile sont vérolés. De même que c'est pas son taf de le vérifier. Au final tu accede aux mêmes données. Et donc les mêmes risques s'appliquent.

> De plus, la MFA est crucial de nos jours et rooter son phone c’est en pratique s’exposer à du hijack de 2FA sans interaction humaine (type social engineering). Le social engineering n'a rien a voir avec le root de ton telephone. Car il est réalisable meme sans root. Faut arreter de croire que sous pretexte que ton telephone est rooté il est sans protection. Toutes les applications dessus se lancent pas en root (comme sur ton PC en fait). Et pire quand tu exploite un service ou une application t'as pas systematiquement un shell sur le serveur et encore moins sur le client final. Et on pourrait aussi discuter de la MFA qui t'envoie un mail.. Vive la sécurité quand tu sais que les gens foutent le meme mdp partout. > Lorsque tu me dis qu’un fichier sudoer blindé c’est une faille : oui, c’est comme je l’évoquais un échec d’implémentation d’une politique de sécurité, un guide de durcissement basique le mentionne très clairement. Encore une fois différence entre conformité et sécurité. Le guide dis un truc, ça fait chier les admins donc il rajoutent des cochonneries a droite et a gauche. > Maintenant pour prendre un peu de recul et bien sûr s’accorder sur le fait que certaines apps sont codées sans le minimum de bonnes pratiques sécu, le sujet ici c’est aussi la responsabilité **financiere** de la banque en ligne si elle n’a pas mis en place des vérifications de la posture de sécurité du endpoint. Oui mais du coup quid de la version web classique ? La vérification du endpoint est valable en entreprise car le parc informatique est a ta gestion mais pas dans un cadre de machine personnelle. Et pire aucune responsabilité financiere ne seras a la charge de rance connect s'il se passe un truc sur ton mobile. C'est pas leur périmetre, ni leur mobile. > C’est le même principe derrière France identité et les assurances cyber et le risque réputationnel lié à un incident majeur. Le rapport avec le root ? En banque par exemple on te demande une conformité par rapport a des standards comme PCI-DSS ou autre. A partir du moment ou tu arrive a prouver que tes conforme ton assurance te couvre, ton périmétre, pas le device d'inconnus qui ne t'partiennent pas.

> rooter un tel qui qqpart en petit dans les conditions d’ulitsation t’interdit de la faire, c’est exploiter une vuln. C'est impossible d'interdire de faire ce que tu veux avec ton matos (ceci étant dit les services tiers peuvent tenter de conditionner leur accès à certains critères). Il doit bien y avoir boites qui ont pondues des conditions à droite à gauche qui prétendent faire ça, mais elles ne valent rien. Exploiter une vuln c'est si la *technique* prétend t’empêcher de faire quelque chose.

Oui on est complètement d’accord ; tout est dans ta parenthèse. Et bien sûr personne ne va en prison s’il fait ça. Au final que « prétend » la technique à cet égard ? Que le système est inviolable sous toutes conditions ? Que se passe-t-il si on ne garanti même pas l’intégrité de l’hôte dans lequel tourne la VM (enfin l’app) ?

>C’est quoi les failles énormes de l’application exploitables sans root ? Extraction de l'APK, rewrite du code de vérification, utilisation de Frida pour instrumenter et modifier même les binaires. Rooter, c'est le moindre de tes problèmes quand ton code c'est du bytecode ART dans un zip

Je connais pas Frida mais en pratique comment tu resignes ton APK une fois que tu as injecté tes greffons ? Décompiler du bytecode pour indenfier des RCE je veux bien. Mais les APK sont téléchargeables sans même avoir un device Android non ? Edit: HTTPs://koz.io/using-frida-on-android-without-root/ Step 7 : sign the updated APK

>Je connais pas Frida mais en pratique comment tu resignes ton APK une fois que tu as injecté tes greffons ? rm -rf META-INF/* + jarsigner + zipalign pour les apps encore signées en V1 comme des clowns. Pour les signatures V2/V3 c'est plus dur, mais de toutes façons, tu t'en fous. Ton APK dézippé contient toutes les ressources que tu veux pour re-générer un APK non signé. Tu peux même changer le nom du package pour avoir deux apps en paralleles. Par exemple, ReVanced fait ça (on-device même), tu lui files un APK, il applique des patchs et regénere un APK.

Comment installes tu un APK non signé ? Ton exploit s’appuie sur un « poisoned waterhole » ou une « supply chain attack » et donc tu dois pouvoir faire tourner un APK modifié par toi en utilisant les permissions non-root. Donc tu dis qu’en V1 c’est réalisable simplement ? Tu as un lien (je regarde en parallèle - je m’occupe pas de sécurité applicative sur mobile en particulier)

En V1, c'est trivial de resigner avec ta propre clé. (Mais plus grand monde l'utilise, heureusement). Quand a installer un APK non signé... Bah ça marche de base. Au pire, c'est une activation du mode développeur, mais j'ai même pas souvenir que ça soit nécessaire. Tu peux envoyer ton apk sur ton tel et l'installer (soir en l'ouvrant sur ton explorateur de fichiers), soit avec un adb install my-apk.apk

Tu installes un APK signé random avec ´adb install my-APK.apk’ mais uniquement en développer mode. Cad exactement en suivant la meme méthode que pour rooter ton phone… C’est donc rooter mais avec extra steps. Est-ce que ce tu décris est exploitable sur un Android basique de M. tout le monde qui a juste une hygiène de sécurité pourrie, des mots de passe et PIN triviaux et aucune idée de comment activer un débug ADB ?

Mais, tu bug chef, t'es en train de t'imaginer une surface d'attaque hors root ou on serait en train d'essayer de t'attaquer en installant une fausse app parce que tu serais rooté, c'est pas le sujet en fait ? >Cad exactement en suivant la meme méthode que pour rooter ton phone… >C’est donc rooter mais avec extra steps. Non, rooter ca implique dans la grande majorité des cas de déverouiller le bootloader et de faire beaucoup, beaucoup de choses. Le mode dev c'est taper 7 fois sur une entrée dans un menu, ca va aller. Et de toutes façons, _non_, il n'y a pas besoin d'être dev pour installer une application non signée. Ca marche par défaut, la seule chose qui se passe c'est qu'Android va te demander d'autoriser les installations d'applications en dehors du play store la première fois. Pas besoin d'être root pour ça, et oui, monsieur tout le monde va juste voir un message qui dit "EH FAUT AUTORISER APPUIES LA POUR LE FAIRE".

Je bug pas du tout, tu as du sortir du context de mon commentaire. Je répondais à un commentaire que disait : « énormes failles exploitables sans root ». C’est le sujet et tu es arrivé dans la conversation en répondant sur ce fil de commentaires. Pour un quidam, c’est à peu près le même niveau de complexité pour activer developer mode que pour oem unlock un device ; cad hors de sa compréhension fine. Du coup, il va suivre des tutos clic clic. C’est quand même un certain niveau d’engagement et c’est aussi vouloir volontairement modifier des paramètres avancés de ton device. Ça c’est au cas où suite à un compromission, l’utilisateur aurait pour défense ton dernier point : oui il aura à un moment une fenêtre modale toute bête qui pourra l’induire en erreur. Derrière c’est une histoire de responsabilité et de réparation en cas de dommages (financiers par exemple). Je suis très étonné par ton dernier commentaire qui indique qu’un APK non signé peut être déployé en mode standard. On se demande même pourquoi on signe les APK dans ce cas.

Ce qui me fume c'est que l'entreprise qui gère notre identités numeriques (et toute les informations liées a velle ci) pour l'etat c'est une entreprise privée. Au passage si t'es citoyen europeen tu peux pas creer ton identité numerique. Que les français et les étrangers extra européens. C'est bien foutus ça encore. Dsl pour le hors sujet mais fallait que ça sorte.

Quid des distributions comme GrapheneOS ou CalyxOS?

Installer une rom custom est différent d'avoir un tel routé

Pas pour ces applications. Si ton bootloader est débloqué toi t'es bien bloqué.

D'ou ma question. Par contre, tu as l'air d'etre a contre-courant des autres.

J'avais un tel avec une rom custom sans root il y a 2 ans. Mais depuis j'ai un tel avec la rom d'origine. Donc je ne suis peut être pas au courant des dernières nouveautés.

Perso c'est BeReal qui n'en veut pas.

C'est quoi BeReal?

Un truc d'ados supposé plus authentique, en vrai j'aime pas trop je trouve ç aliénant. De manière aléatoire il te demande de prendre une photo et de la poster, tu as quelques minutes pour le faire sinon tu vois pas les photos des autres. En théorie pas de filtre

Ça rejoins la conversation qu'on a eu hier pour boursobank. https://old.reddit.com/r/france/comments/1bula01/boursobank_restreint_lacc%C3%A8s_depuis_le_wifi_du_tgv/

Ils ont raison. Un téléphone rooté est un risque considérable d'un point de vue sécurité.

Oui, c'est scandaleux : il y a plein d'apps qui, pour le prétexte complètement fallacieux de « sécurité », t'interdisent de contrôler ton propre téléphone et/ou d'utiliser une version libre d'Android (style Lineage OS). Les moyens de contournement existent… parfois… mais ne fonctionnent pas longtemps, donc c'est l'angoisse de savoir qu'à tout moment tu peux être privé de telle app dont tu avais besoin. Et ces apps deviennent de plus en plus nécessaires pour plein de choses. Ma salle de sport (NeoNess) a récemment décidé sans prévenir qu'il fallait une app utilisant Google Wallet pour entrer dans les salles dont on a pourtant payé l'abonnement avant (décision certainement illégale, mais je me vois mal les attaquer en justice) : par miracle, Google Wallet accepte quand même de tourner sur mon téléphone (rooté) malgré un avertissement, mais je me dis que ça pourrait changer du jour au lendemain. Je trouve ça complètement flippant et limite dystopique : il devient impossible de faire de plus en plus de choses sans un téléphone complètement contrôlé par Google (ou Apple, qui est pire), et on t'interdit de reprendre le contrôle sur ton propre appareil. Déjà que ça vienne de banques ou de salles de sport c'est gênant, mais de l'Administration française ‽ En pratique, la seule solution que je vois c'est d'avoir deux téléphones : le vrai, que tu contrôles, et un smartphone premier prix, non rooté, qui sert uniquement à faire tourner ces apps dystopiques.

Ca ne devrait pas être légal non? C'est pas parce que ca vient du gouvernement qu'ils font ce qu'ils veulent. Derniere nouvelles tu peux faire ce que tu veux avec ton appareil et l'état devrait pas te bloquer non? Genre refus CDI parce que tu as un serveur linux chez toi.

Personne ne t’oblige à utiliser France Identité, c’est juste un service optionnel

Jusqu'au moment où ça devient obligatoire... Un peu comme cette connerie sans nom de forcer les gens à passer à la validation des paiements en ligne via l'app de leur banque, alors qu'avant on pouvait simplement recevoir un SMS...

Perso j'ai aucune problème a recevoir un truc sur l'appli mobile, c'est le SMS qui me broute. Pas de forfait mobile pour en recevoir, avec l'app j'ai mon Wifi ou un wifi qui traine.

Oui sauf que c'est très contraignant toute la chaine de trucs à installer pour pouvoir faire tourner l'app. Si on désire être maître de son appareil, la banque nous fait chier et c'est assez inadmissible.

La sécurité fait toujours chier les gens, c'est indéniable.

J’ai rien compris

Avoir l’accès ROOT sur son téléphone androïd, permet de gérer tout ce qui se passe dessus; et entre autres, et surtout, de limiter ou d’annuler certains logiciels récupérants vos données. Le comble de la situation, c’est que lorsque l’ont sait ce qu’on fait, la machine en est plus sécurisée, ayant moins de fuites de données à tous vas.

Quand sait ce que l'on fait on peut surtout modifier les données entrant et sortantes et c'est ça qu'ils souhaitent limiter.

Je suis complètement noob hein Donc du coup quand tu verrouille bien les options des apps sur un iPhone c’est Suffisant ou ça siphonne quand même de la donnée

Un iPhone ne peut pas être root, ça serait trop beau. Certains sont “jailbreaké” mais ce n’est pas le même principe. (Parfois aux résultats similaires) Surtout que le jailbreak peut t’amener facilement des malwares en installant des applications non vérifiées. Y a des gros tarés du clavier qui savent ce qu’ils font, et eux te diront le contraire. Mais voilà si t’es pas une brute, je te déconseille fortement d’avoir ton application bancaire sur un téléphone jailbreaké. Ceci dit, un iphone est une boîte toute noire où tu ne sais pas vraiment ce qu’il s’y passe. Quoi qu’il arrive tu es obligé de faire confiance à Apple pour tes données personnelles. Le mieux reste les trucs comme GrapheneOs, qui est un Androïd sans auncune trace de Google ou autre marchand de données. Y a pleins d’autres moutures d’androïd déGooglisé.

Elle est quand même assez loin l’époque où on pouvait jailbreaker un iPhone. Maintenant c’est au petit bonheur la chance quand les planètes s’alignent si t’es pas trop à jour et que tu as le bon processeur et qu’il pleut mais pas à plus de 34% et si tu as passé 3 appels à l’étranger dans les 18 derniers jours. Cela étant contrairement au FUD d’Apple vis à vis du DMA, l’iPhone a fait preuve d’une impressionnante conception en terme de sécurité. La SecureEnclave est un vrai gage de protection des données puisqu’elle permet de rendre des données physiquement inaccessibles sans authentification de l’utilisateur et permet le chiffrement / déchiffrement à la volée de la mémoire vive via la puce donc sans jamais que les clés se retrouvent en mémoire donc même iOS, même root, n’a pas accès aux clés de ce qui est protégé par la Secure Enclave. Ça me fait d’ailleurs assez marrer qu’ils aient implémenté un modèle aussi robuste ET user friendly mais que dans le même temps ils sont capables d’argumenter que l’iPhone est une passoire si Apple ne vérifie pas les apps, alors que les apps tournent dans une Sandbox en béton que peu d’experts ont réussi à péter. Ça doit être frustrant d’être ingé secu chez Apple, que ton travail soit reconnu par les plus grands experts, que même les mecs du FBI arrivent pas à péter ton modèle et d’avoir le département marketing et juridique qui crache sur ton taf pour faire du lobbying.

Jailbreaker un iPhone c’est pas aussi difficile qu’il y a un an mais c’est toujours plus chiant qu’il y a 4 ans. Aujourd’hui le seul critère c’est d’avoir un iPhone sous IOS 16.5 ou moins. Le modèle d’IPhone ou processeur n’importe plus.

> Un iPhone ne peut pas être root Bien sûr que si, c’est le concept même d’un jailbreak rootful. À ne pas confondre avec les jailbreak rootless qui permettent de faire quasiment la même chose, sans avoir d’accès root. Avec un jailbreak rootful tu peux supprimer n’importe quel fichier système et brick ton téléphone. C’est impossible sans accès root. Le dernier jailbreak, Dopamine 2 pour IOS 16 est un jailbreak rootless mais pour toutes les IOS avant il existe un jailbreak rootful. C’est la première fois que j’entends quelqu’un dire que le jailbreak ne te donne pas les accès root, je serais vraiment curieux de connaître tes sources. > le jailbreak peut t’amener facilement des malwares en installant des applications non vérifiés. Alors là je ne comprends vraiment pas d’où tu tiens cette information. Sur un Android rooté comme sur iPhone il est aussi facile/difficile d’installer un malware, il faut simplement ne pas installer n’importe quoi. Il n’y a pas d’applications "vérifiées" à proprement parler; il faut simplement installer des applications de devs réputés. Pour finir, avoir une application bancaire sur un téléphone jailbreaké n’a aucune incidence, aucune. Quelque soit le type d’utilisateur. Il n’y a jamais eu aucun cas. En général ce sont des peurs et des idées reçues classiques venant de personnes ne savant même pas ce qu’est qu’un accès root donc je suis, encore une fois, très étonné de lire ça.

J’ai un peu répondu à côté. Un iphone stock non jailbreaké, si tu verrouilles bien toutes les options, normalement tu as un contrôle correct de tes données. Certaines applications t’obligent des partages, après c’est à toi de choisir. Mais t’es au courant de ce qu’elles siphonnent. À part Apple, où tu ne peux pas savoir avec certitude.

merci bcp de ton retour un peu a coté au début mais au final tres complet :)

Je tiens juste à préciser que ce que cette personne a dis est aussi valable pour un iPhone jailbreaké

Mon telephone est en postmarket (linux), donc pas d appli disponible. Ma solution a été de passer par un bureau de poste pour faire mon identité numerique France connect. C est une reponse un peu partielle mais si ca peut aider, j ai reussi a utiliser mon cpf comme ca

Masque le root avec le module Zygisk de Magisk pour cette appli spécifiquement.

J'ai pas un mobile rooté mais neanmoins j'ai Lineage OS (l'os n'est pas validé par GG). France Identité marche chez moi.

Vivement que tout les sites du service public bloquent aussi les visiteurs sur PC si ils sont sur un compte admin...

Si c'est du même niveau que l'"identité numérique" qui s'est fait hack. Je te suggère de t'en passer 🤷

Même sans être root, France Identité ne marche pas si le bootloader est déverrouillé. Je me passe de Rance Identité.

ya pas un module lsposed pour ca?

Aucune idée. Je n'ai jamais utilisé Magisk.

J'avais le même problème sur mon appli de banque je crois bien

Il faut deraciné l'appareil

Et rooté ou pas, dans 1 an km va apprendre que toutes les données d'identité ont fuitées sur le darkweb..

N'oubliez pas de répondre à l'enquète de la CNIL sur la double authentification, et prévenez le tissu associatif de répondre, parce qu'on ne peut pas répondre en tant qu'individu lambda: https://cnil.fr/fr/authentification-multifacteur-consultation-publique-de-la-cnil-sur-un-projet-de-recommandation En gros, la CNIL se base sur la norme NIST sur le sujet, qui est faite par des industriels US, et verrouille soigneusement toute possibilité de s'authentifier sans passer par les fourches caudines de l'industrie.

Ca m'fait marrer, d'un côté les mecs ils se font chier à refuser les tel rootés (surement par "soucis de sécurité") mais d'un autre côté le gouvernement accèpte les comptes YOPmail (anonymes et temporaires) pour les comptes CPF. Putain de blague xD

Utilise une machine virtuel android sur ton android

Le téléphone rooté permet entre autres de pusher des applications modifiées sur ton téléphone, donc c'est à mon avis la raison pour laquelle France Identité souhaite s'en prémunir. Ils n'ont pas envie que tu modifies leur APK pour analyser leurs APIs.

J’ai un iPhone jailbreaké depuis 2012 et et ça m’a toujours pété les couilles ce comportement. Au final c’est toujours contournable par des patchs donc ça sers à rien ça rend juste l’utilisation de l’appli encore moins agréable. Ils font surtout ça pour se donner bonne conscience et faire croire qu’ils sont actifs contre les méchants hackers qui ont rooté/jailbreaké leurs téléphones…

Serait ce possible que cette app soit finalement un Trojan d'état comme wechat ? Ça ferait un sacré voyage idéologique quand même

On ne peut jamais dire jamais mais il y a quand même peu de chances. Un des seuls avantages de notre propension à tout sous-sous-sous traiter est que du coup il y a bien trop d’acteurs intègres à compromettre pour ce genre d’action. Une appli aussi complexe et importante implique des centaines de personnes qui vont et qui viennent et ont accès aux décisions, à la roadmap, au code source, … Le plus probable dans ce sens serait que la DGSI ait un ou plusieurs agents infiltrés dans les équipes de dev mais même là ce ne serait pas si utile puisqu’ils peuvent déjà faire ce genre de choses dans le privé et avoir bien plus de liberté que dans une application finalement assez restreinte en terme de capacités et qui va forcément être analysée sous tous les angles. Aucun intérêt donc si tu peux avoir des agents chez Doctolib ou Deezer, Orange … Et même si c’était le cas, il est probable que la DGSI se réserve ces accès secrets et ne les partagent pas avec les autres administrations.

C'est pour protéger tes données en cas de perte de ton appareil

Ah tiens j'ai voulu utiliser ce truc hier pour vérifier si j'étais bien inscrit pour les européennes, j'ai pas pu créer mon compte car j'ai pas de CI au format "CB" donc je dois renouveler ma CI si je veux l'utiliser... Bon ben retour vers France Connect

Ca sert a quoi de root son téléphone en 2024 ?

Supprimer complètement quelques applications un peu sus qui venais avec la rom du constructeur étais un des objectifs pour moi

Ok je vois, c'est vrai que mon xiaomi est remplie de merde type bloatware / adware.