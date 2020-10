SafetyNet n’est pas quelque chose de nouveau, même si récemment son nom est apparu à l’occasion de terminaux lancés sans les services Google de Huawei. Maintenant bien, Qu’est-ce que ce SafetyNet et à quoi sert-il?

Nous verrons d’abord ce qu’est exactement ce test de sécurité et à quoi il sert, puis nous vous dirons comment pouvez-vous voir si votre mobile passe le test et quels cas peuvent faire échouer le test d’un mobile.

Qu’est-ce que SafetyNet et à quoi sert-il?

Schéma du fonctionnement de Safety Net, qui envoie les informations de l’appareil aux serveurs de Google pour obtenir la réponse

Google définit SafetyNet comme ceux services et API pour éviter les abus. Les développeurs d’applications peuvent utiliser cette API pour déterminer si la connexion aux serveurs est authentique, à partir d’une application authentique et sur un appareil authentique.

SafetyNet est un système que les développeurs d’applications doivent vérifier si l’appareil est authentique, sans modifications

Je veux dire, ce que ça fait c’est vérifier le matériel et les logiciels de l’appareil pour vérifier que son intégrité n’a pas été compromise, en comparant l’état actuel avec les données de référence collectées lors du test de compatibilité (CTS).

Ce n’est pas un DRM ou un système anti-triche strict pour les jeux, mais plutôt d’un contrôle d’intégrité du système qui compare que le système reste le même que lorsqu’il a réussi les tests de compatibilité. Ces tests sont constitués d’une multitude de petits tests pour détecter les incompatibilités et qui couvrent des domaines tels que les permissions ou l’interaction entre différentes API.

Schéma de test de compatibilité Android CTS

Ce n’est pas non plus un détecteur de racine, même si les périphériques rootés ne réussiront pas le test. En effet, les résultats renvoyés par SafetyNet sont ambigus et se limitent à indiquer si le test a réussi ou non, mais pas pour quelle raison.

Concernant son utilisation, SafetyNet est utilisé par les développeurs pour vérifier la sécurité globale du système. Ce sont ces développeurs qui doivent l’implémenter dans leurs applications et agir en conséquence.

Par exemple, une application bancaire peut ne pas fonctionner à moins que l’appareil ne réussisse SafetyNet. En fait, cela se produit déjà avec Google Pay. D’autres développeurs peuvent choisir directement de ne pas afficher leurs applications sur Google Play sur les appareils qui ne réussissent pas le test, comme c’est le cas avec Netflix.

Comment savoir si votre mobile passe SafetyNet

Le moyen le plus simple de vérifier si votre mobile passe le contrôle SafetyNet est d’installer une application qui vérifie. Il y en a plusieurs sur Google Play qui font le travail, le plus populaire étant le simple test SafetyNet.

L’application a littéralement un seul bouton, donc tout ce que vous avez à faire est d’appuyer sur Lancer le test. Le test en question prend une seconde et montre très clairement s’il a été réussi ou non. Certains détails supplémentaires sont répertoriés au bas de la fenêtre.

Demande de filet de sécurité. C’est la demande du test lui-même. S’il n’est pas effectué, le test n’est même pas effectué (par exemple, si vous ne disposez pas d’une connexion Internet).

Validation de la signature de la réponse. C’est la validation du résultat du test, qui provient des serveurs de Google.

Intégrité de base. C’est le test d’intégrité de base, un peu plus permissif que le suivant. Les développeurs peuvent déterminer s’ils souhaitent que leurs applications continuent de fonctionner si au moins ce niveau d’intégrité est dépassé.

Correspondance de profil CTS. C’est le test le plus strict, qui ne donne vrai que lorsque l’appareil est établi comme authentique et certifié selon la certification CTS.

Test SafetyNet

Pourquoi le test peut échouer

Comme nous l’avons mentionné précédemment, le test SafetyNet n’aide pas les développeurs à savoir avec certitude si votre mobile est enraciné ou ce qui ne va pas, mais plutôt renvoie vrai ou faux, sans expliquer pourquoi. Maintenant, les raisons pour lesquelles il renvoie vrai ou faux sont spécifiques et sont les suivantes:

Test “Correspondance de profil CTS”

Test “Intégrité de base”

Appareil certifié et authentique selon CTS

Vrai

Vrai

Appareil certifié avec chargeur de démarrage déverrouillé

Faux

Vrai

Appareil authentique non certifié (car le fabricant ne l’a pas certifié)

Faux

Vrai

Appareil avec ROM personnalisée, pas de racine

Faux

Vrai

Émulateur

Faux

Faux

Ce n’est pas un appareil mais un script

Faux

Faux

Signes d’un système compromis, tel qu’un système enraciné

Faux

Faux

Autres signes de convulsions

Faux

Faux

Ainsi, le test lui-même se compose de deux niveaux et peut échouer pour toutes les raisons ci-dessusCependant, l’application qui effectue le test ne saura pas exactement quel est le cas, mais seulement qu’elle a échoué.

Cela signifie que le test le plus strict échouera si l’appareil a une ROM ou un chargeur de démarrage déverrouillé, bien que le test d’intégrité de base soit un peu plus permissif et passera dans les cas précédents. Ce qu’ils conviennent tous les deux est dans la racine: un périphérique enraciné ou avec des modifications similaires ne passe aucun des tests.