La sécurisation des comptes en ligne est une préoccupation constante, d’où l’importance croissante de l’utilisation de clés d’accès ou de l’authentification à deux facteurs (2FA). Les codes de 2FA ajoutent une couche supplémentaire de sécurité, contribuant à empêcher les pirates d’accéder à vos comptes. Cependant, certaines méthodes actuellement utilisées pour envoyer ces codes ne sont pas les plus sûres. Cependant, cela pourrait changer avec Android 15, comme le suggèrent de nouvelles lignes trouvées dans le code source.
Une forme courante de 2FA envoie un code de mot de passe à usage unique (OTP) par SMS ou e-mail. Bien que faciles à utiliser, ces méthodes comportent un risque inhérent : le texte ou l’e-mail contenant le code pourrait être intercepté par un tiers malveillant. Cependant, comme l’a découvert l’expert Android Mishaal Rahman relayé par Android Authority), une analyse approfondie du code de la Beta 1 d’Android 14 QPR3 montre des preuves d’une nouvelle fonctionnalité de sécurité en développement visant à protéger vos codes de connexion sensibles.
Google semble ajouter une nouvelle permission nommée « RECEIVE_SENSITIVE_NOTIFICATIONS ». Celle-ci serait probablement très restreinte, la rendant disponible uniquement pour certaines applications système sur votre smartphone. Cette fonctionnalité fonctionnerait probablement en tandem avec l’API « NotificationListenerService » d’Android, le système qui permet aux applications de lire et d’interagir avec vos notifications. Cette API n’est pas automatiquement active et vous devez généralement l’activer manuellement dans vos paramètres.
Des extraits de code indiquent également que Android 15 pourrait disposer d’une fonctionnalité appelée « OTP_REDACTION », qui pourrait masquer directement les codes 2FA sur votre écran de verrouillage.
Le NotificationListenerService d’Android peut être très puissant, en faisant un outil potentiellement précieux pour les applications malveillantes cherchant à accéder à des données sensibles.
Bloquer les regards / applications indiscrets
Cette nouvelle fonctionnalité vise à bloquer les applications non fiables de la lecture de notifications contenant des données sensibles, comme vos codes OTP pour vous connecter aux réseaux sociaux, à la banque, etc. Essentiellement, Android pourrait vous donner plus de contrôle sur les informations que différentes applications peuvent voir ou non.
Lorsqu’on les assemble, ces ajouts indiquent que Google travaille à améliorer considérablement la sécurité. On pourrait conclure, sur la base de ces nouvelles découvertes, que la fonctionnalité visée est de cacher ces codes de connexion aux yeux indiscrets — ou aux applications indiscrètes, si vous voulez — de sorte que seules celles qui sont dignes de confiance peuvent y accéder.
