Google a annoncé le 25 mars sur son blog l'alliance Android Ready SE. La dernière annonce de Google détaille le projet de normalisation d'un écosystème Android autour du programme logiciel appelé « Android Ready SE Alliance ». SE (pour Secure Element) est un composant matériel conçu pour exécuter uniquement des tâches informatiques sécurisées comme un paiement NFC (Near-Field Communication). L'idée derrière le projet est que les fabricants de téléphones puissent souscrire à Android Ready SE auprès des fournisseurs d'éléments sécurisés, associés de Google, comme NXP, Thales, STMicroelectronics, Giesecke+Devrient et Kigen. Ces fournisseurs de SE étant associés à Google pour créer un ensemble d'applets SE open source prêts à l'emploi qui prennent en charge des nouveaux cas d'utilisation.Notons que la NFC est un ensemble de protocoles de communication entre deux appareils électroniques sur une distance de 4 cm ou moins. La NFC offre une connexion à vitesse faible avec une configuration simple qui peut être utilisée pour amorcer des connexions sans fil plus performantes.
Selon Google, lorsque le Pixel 3 a été lancé en 2018, il disposait d'une nouvelle enclave matérielle inviolable appelée Titan M. En plus d'être un élément de confiance pour les logiciels et les micrologiciels Pixel, elle permettait également le stockage de clés inviolables pour les applications Android à l'aide de StrongBox. StrongBox est une implémentation de Keymaster HAL qui réside dans un module de sécurité. Il s'agit d'une amélioration importante de la sécurité des appareils Android et a ouvert la voie pour envisager de nouvelles fonctionnalités qui n'étaient pas possibles auparavant.
« Afin d'accélérer l'adoption de ces nouveaux cas d'utilisation d'Android, nous annonçons la formation de l'Android Ready SE Alliance. Les fournisseurs de SE s'associent à Google pour créer un ensemble d'applets SE open source, validés et prêts à l'emploi », a annoncé Google sur son blog le 25 mars. « Aujourd'hui, nous lançons la version General Availability (GA) de StrongBox pour SE. Cet applet est qualifié et prêt à être utilisé par nos partenaires OEM (original Equipment manufacturer). Il est actuellement disponible auprès de Giesecke+Devrient, Kigen, NXP, STMicroelectronics et Thales », précise l’entreprise.
Avec le nouvel effort de normalisation de la SE, Google souhaite prendre en charge les clés numériques pour véhicules, maison et bureau, les permis de conduire, les cartes d'identité nationales, les passeports électroniques et les solutions de monnaie électronique. Il est important de noter que ces fonctionnalités ne concernent pas uniquement les téléphones et les tablettes. StrongBox est également applicable à WearOS, Android Auto Embedded et Android TV. Voici, ci-dessous, les recommandations de Google sur l'utilisation d'Android Ready SE
- intégrer le code HAL ;
- activer un mécanisme de mise à jour de la SE ;
- utiliser la version GA de l'applet StrongBox pour SE, adaptée à votre SE ;
- choisir la partie matérielle appropriée et validée auprès de leur fournisseur de SE ;
- travailler avec Google pour fournir des clés/certificats d'attestation dans l'usine SE ;
- exécuter des tests CTS/VTS pour StrongBox afin de vérifier que l'intégration se fait correctement ;
- permettre à la SE d'être initialisée à partir du chargeur de démarrage et fournir les paramètres de la racine de confiance (RoT) par l'intermédiaire de l'interface SPI ou de la liaison cryptographique.
« Tous nos partenaires SE travaillent avec nous pour permettre ces solutions matérielles et logicielles pour les appareils mobiles et l'écosystème mobile. Ils s'engagent à prendre en charge tous les cas d'utilisation actuels et émergents et à fournir des applets mis à jour dès qu'ils sont disponibles. Les implémentations sont validées par des programmes de test et de conformité Android afin de garantir la qualité et la conformité », a déclaré Google. Du côté des partenaires de Google, le projet semble être bien perçu. Pour Giesecke+Devrient (G+D), une entreprise spécialisée dans le développement des technologies de sécurité telles : le paiement sécurisé, la connectivité, la protection des identités et des infrastructures numériques, la participation au programme Android Ready SE est une continuité dans la collaboration avec Google.
« La participation de G+D au programme Android Ready SE est une extension naturelle du travail que nous avons effectué avec Google pour faire évoluer le marché des éléments sécurisés embarqués en veillant à ce que la sécurité soit intégrée tout au long de la chaîne de valeur », a déclaré Simon Wakely, vice-président senior de Giesecke+Devrient. Voici, ci-dessous, les réactions des autres partenaires de Google à propos de ce projet :
- NXP : « la mise en œuvre des solutions de sécurité basées sur le silicium de NXP dans Android StrongBox crée un environnement autonome hautement protégé pour la mise en scène et l'exécution de divers types de services et de tâches d'authentification », déclare Charles Dachs, GM et Vice-président de Secure Embedded Transactions, NXP Semiconductors ;
- Kigen : « Nous sommes heureux de mettre notre OS eSIM sécurisé, notre OS iSIM et nos services de personnalisation sécurisés à la disposition de tous les partenaires de l'alliance Android SE », Vincent Korstanje, PDG de Kigen ;
- ST : « le Secure Element inviolable est en train de devenir une solution de sécurité omniprésente dans les téléphones Android pour assurer le plus haut niveau de protection requis par des cas d'utilisation tels que le paiement numérique, les clés numériques, l'identification mobile et le contrôle d'accès », déclare David Richetto, directeur technique de la division Microcontrôleurs sécurisés de STMicroelectronics.
Google n'est pas la seule entreprise à proposer des projets de ce type. Les sociétés Apple et Samsung travaillent également sur des identifiants numériques et des clés de voiture. Des entreprises comme BMW et Tesla ont également développé de nombreuses applications pour clés de voiture. Plusieurs fabricants ont déjà adopté Android Ready SE pour leurs appareils. Google se dit impatient de travailler avec les partenaires OEM pour mettre à la disposition de ses utilisateurs ces fonctionnalités de nouvelle génération.
Source: Blog Google
Et vous ?
Êtes-vous pour ou contre ce projet ? Quel est selon-vous, l'intérêt que peut avoir Google derrière ce projet ?Voir aussi :
Un sénateur plaide pour les cartes d'identité électroniques qu'il juge utiles, pour offrir une meilleure protection contre l'usurpation d'identité Chine : le pays lance un programme pilote de CNI numérique sur le réseau social WeChat, qui pourra aussi servir de plateforme pour porter plainte Combien pourrait coûter une nouvelle identité numérique ? Un ingénieur parcourt le Dark Web pour y répondre ! Google avertit que des dizaines de millions de téléphones Android sont préchargés avec des logiciels malveillants dangereux, plus de 200 fabricants d'appareils ont été mis à rude épreuve 
Envoyé par Bruno
