Apps bancaires : les mises à jour Android bientôt obligatoires ?

Par Naïm Bada, Spécialiste logiciel.

Publié le 04 décembre 2024 à 07h19

Google renforce drastiquement la sécurité de son écosystème Android avec une nouvelle exigence qui pourrait bouleverser l'usage des applications bancaires. Les développeurs pourront désormais imposer des mises à jour de sécurité récentes pour accéder à leurs services, une décision qui soulève des questions d'accessibilité.

Une nouvelle option va permettre aux développeurs de renforcer la sécurité de leurs apps sur Google Play. © Google

Les applications bancaires pourraient bientôt exiger des mises à jour Android régulières pour fonctionner pleinement. Google vient en effet d'annoncer une évolution majeure de son API Play Integrity, permettant aux développeurs d'applications sensibles de vérifier si un appareil a reçu des correctifs de sécurité au cours des 12 derniers mois.

Une nouvelle exigence pour renforcer la sécurité

Cette modification s'inscrit dans une démarche globale de Google visant à sécuriser l'écosystème Android. L'API Play Integrity permet désormais aux applications de vérifier l'intégrité des appareils selon trois niveaux : basique, standard et renforcé. Pour obtenir le niveau «renforcé», un appareil devra impérativement avoir reçu une mise à jour de sécurité dans l'année écoulée.

Android a multiplié les efforts sur la sécurité ces dernières années. © Google

Les développeurs peuvent d'ores et déjà opter pour ces nouvelles vérifications, mais le système deviendra automatique en mai 2025. Cette transition permettra notamment de réduire de 90% les signaux à collecter tout en améliorant la latence jusqu'à 80%.

Cette évolution pourrait affecter de nombreux utilisateurs, particulièrement ceux possédant des appareils plus anciens ou des modèles de niche recevant peu de mises à jour. Les applications bancaires et financières seront probablement les premières à adopter ces nouvelles exigences de sécurité.

Une réponse aux menaces croissantes

Cette initiative intervient dans un contexte où les menaces se multiplient. Récemment, le botnet Necro a démontré sa capacité à infecter le Play Store en touchant plus de 11 millions d'appareils Android. Les cybercriminels utilisent des techniques de plus en plus sophistiquées, comme la stéganographie, pour contourner les systèmes de sécurité.

Google recommande aux développeurs de prévoir des solutions de repli lorsque le niveau de sécurité « renforcé » n'est pas disponible. Les applications pourront notamment adapter leur comportement en fonction de la version Android de l'utilisateur, offrant ainsi différents niveaux de fonctionnalités selon le degré de sécurité de l'appareil.

Cette nouvelle politique s'inscrit dans une tendance plus large de renforcement de la sécurité mobile. Les applications bancaires, particulièrement sensibles aux questions de sécurité, cherchent à protéger leurs utilisateurs contre les fraudes et les cyberattaques.

Source : Android Police

À découvrir

Meilleure banque en ligne et mobile, le comparatif 2024

02 décembre 2024 à 20h15

Comparatifs services

Par Naïm Bada

Spécialiste logiciel

Android

Banque en ligne

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

xryl

En gros, les ventes de Pixel 9 ne sont pas à la hauteur, donc on te force à changer de téléphone (car, bon, pour installer un LinageOS avec un smartphone récent impose de déverrouiller le bootloader, ce qui n’est pas forcément possible et qui fait automatiquement sauter le PlayIntegrity, bien vu, hein gogole?)

Mais comment éviter la grogne des utilisateurs qui n’en ont strictement rien à faire des « avancées » technologiques? En pondant ça:

Google recommande aux développeurs de prévoir des solutions de repli lorsque le niveau de sécurité « renforcé » n’est pas disponible. Les applications pourront notamment adapter leur comportement en fonction de la version Android de l’utilisateur, offrant ainsi différents niveaux de fonctionnalités selon le degré de sécurité de l’appareil.

Dit simplement, si ça marche pas, plaignez vous aux dev des appli bancaires. Et si tu es dev d’une telle appli, le message est « regarde le super système de sécurité que je t’impose sur ta porte blindée, par contre, laisse une fenêtre ouverte à côté, c’est mieux ».

Ce qui va, au final, sans être devin, être détourné en 2s, les appli root vont simplement faire mentir la détection de la version Android du téléphone pour ces applications pour pouvoir utiliser la fenêtre ouverte.

vVD

J’ai basculé sur Android lorsque mon iPhone 4S est devenu un brique. Les applications demandaient un os récent et je ne pouvais plus upgrader mon 4S car Apple ne faisait plus le support.
Su mon Android actuel, impossible d’utiliser certaines applications quand il n’y a pas de sécurité à l’ouverture (pas de code, pas d’empreintes, pas de reconnaissance faciale…)
Obligé d’avoir un second téléphone pour prendre en photo des écrans car le screenshot ne fonctionne pas…
J’aime la technologie quand elle ne m’embête pas, ça devient insupportable.
C’est de ma responsabilité, j’assume !

nikon561

il y a une logique, mais dans ce cas il faut IMPOSER aux fabricants une période de MAJ de sécurité GARANTIE pour les appareils. et pas juste 2 ans.
et une reactivité dans la publication de ces MAJ… qu’on reste pas bloqué 6 mois en attendant que la marque publie les maj.

MattS32

Ça tombe bien, c’est prévu

À partir de mi-2025, les smartphones devront bénéficier d’au moins 5 ans de mise à jour dans l’UE. C’est encore un poil court, mais ça évolue dans le bon sens

Les mises à jour devront en outre être proposées dans un délai maximum de 6 mois après publication du code source si c’est de l’open source (donc Android par exemple) ou la disponibilité sur un autre appareil de la marque si c’est pas de l’open source (donc par exemple une marque qui aurait un OS propriétaire et sort un nouveau modèle avec une nouvelle version de l’OS doit dans les 6 mois mettre à jour ses anciens modèles de moins de 5 ans vers la nouvelle version de l’OS). Ce délai est réduit à 4 mois quand la mise à jour est relative à la sécurité.

https://eur-lex.europa.eu/FR/legal-content/summary/ecodesign-requirements-smartphones-mobile-phones-other-than-smartphones-cordless-phones-and-slate-tablets.html

xeno

Le problème c’est d’utilisé une application pour accéder à une banque qui est de l’hérésie sécuritaire.
Perso depuis 2 ans je ne peu plus accéder à mes comptes, car l’application de la banque refuse de se lancer sur mon samsung

MattS32

Et pourquoi ? C’est plutôt plus sûr que d’utiliser un simple navigateur…

xeno

c’est en rien plus sur.
Utilisé un objet qui peut se perdre facilement, qui est facilement exposé car n’importe quel développeur peut s’accaparer bon nombre d’information sur l’utilisateur et son téléphone, etc…
Et un véritable hacker c’est comme tout voleur de maison, en quoi multiplier les clefs et donc les risques renforce la sécurité ? Puisque dans les deux cas ils leurs suffit juste d’éclater ou contourner la serrure.
Donc en conclusion au nom d’une fois de plus d’une sois disant sécurité, google et ses copains va encore renforcé la main mise sur des systéme et nous rend dépendant en s’assurant que plus personne ne puisse accéder à des services de la vie de tout les jours sans devoir acheté son téléphone, un réseau internet et donc pisté nos vie en prime…

MattS32

L’objet est facile à perdre, oui. Mais sur les smartphones dignes de ce nom, tout est chiffré, celui qui le trouvera n’arrivera pas à en sortir grand chose (c’est pas pour rien que des sociétés spécialisées dans ça se sont montées pour vendre leur service aux forces de l’ordre : c’est un niveau d’expertise très pointu, et qui se paie donc très cher, personne ne va payer ça pour aller regarder tes comptes bancaires…), et les espaces de stockage privés des différentes applications sont correctement isolés.

Sur ton PC, avec ton navigateur, une simple extension peut déjà aller récupérer des données, une autre application peut aller taper dans les données du navigateur également, etc…

En quoi multiplier les clés multiplie les risques ?

Ça augmente certes le risque qu’une clé soit corrompue. Mais ça réduit le risque que l’accès soit ouvert.

Quand il n’y a qu’une seul clé, il suffit qu’une clé soit corrompue pour avoir l’accès.
Quand il y a deux clés, il faut réussir à corrompre les deux, en corrompre une seule ne suffit plus.

FouineEnFurie

C’est surtout qu’il est préférable d’utiliser un ordinateur car c’est bien plus sécurisé qu’un smartphone. Ne serait-ce déjà qu’au niveau antivirus/antimalwares : tous les PC sont protégés (au moins par windows defender, voire par d’autre logiciels), mais qui a un antivirus sur son smartphone ? Ensuite, un PC se ballade moins et passent moins souvent entre des mains étrangères (exemple : Ecran du téléphone cassé et le réparateur qui me demande le code PIN pour vérifier si tout est ok après la réparation (je n’ai rien donné)). Enfin, si l’écran (donc le tactile aussi) de ton android est mort, tu es bien dans la merde pour transférer sur un autre android (toutes les appli nécessitent de valider certaines demandes sur le smartphone endommagé, ce que tu ne peux pas faire)

nikon561

tu a un mode « maintenance » sur les smartphone pour justement laisser libre suffisement l’access pour des test fonctionels, sans laisser acceder au contenu de l’appareil