Copperhead : la start-up canadienne qui blinde Android

La Rédaction,

Copperhead s’attaque à son tour à la sécurisation d’Android en lançant sa propre version améliorée de l’OS mobile de Google.

Une start-up basée à Toronto a-t-elle trouvé une solution à l’épineuse question de la sécurisation d’Android ? La petite équipe (deux personnes) de Copperhead livre en effet une version sécurisée d’Android – CopperheadOS – qui intègre dans sa distribution Grsecurity (porté pour l’occasion sur architecture ARM 64bits) et PaX.

Distribué sous licence GNU, Grsecurity améliore la sécurité au niveau du noyau Linux.De son côté, PaX est un système évolué de contrôle d’accès rendant notamment aléatoire l’espace d’adressage mémoire et implémentant d’autres méthodes visant à améliorer la sécurité du noyau.

Copperhead disponible sur Nexus

Google ne s’y est pas trompé et son équipe en charge de la sécurité sur Android a accepté de nombreux patches émanant de Copperhead pour le code de base d’Android AOSP (Android Open Source Project). Il n’en reste pas moins que la plupart des améliorations de sécurité proposées par les Canadiens n’intègreront pas Android. La faute à des compromis en termes de performances et à des problèmes de compatibilité.

Copperhead a donc trouvé la parade en commercialisant des terminaux Nexus sur lesquels CopperheadOS est pré-installé, en lieu et place d’un Android standard. On parle des Nexus 6P, Nexus 9 et Nexus 5X.

L’OS est par ailleurs disponible gratuitement sur le site Internet de la start-up canadienne  et peut donc être installé par n’importe quel utilisateur. Le financement du projet est réalisé par le biais de dons gérés via la plateforme participative Patreon, relèvent nos confrères de ITespresso.

Android sécurisé, un secteur convoité

Malgré ces atouts, CopperheadOS devrait toutefois rester cantonné à un petit cercle d’utilisateurs avertis. Les espoirs d’une amélioration significative de la sécurité de la plate-forme Android, touché par de nombreuses failles ces derniers mois, reposent plutôt sur Android 7.0 Nougat. Le 27 juillet dernier, Google a d’ailleurs publié un billet de blog pour vanter l’intégration d’un sous-ensemble de correctifs de Grsecurity dans cette mouture d’Android. Toutefois, certains experts estiment que Mountain View s’est limité à la portion congrue des apports de Grsecurity.

Copperhead n’est pas le seul acteur à avoir l’ambition de développer un marché autour d’un Android à la sécurité renforcée. Blackberry a troqué son OS maison contre celui de Google qu’il renforce à coup d’applications de sécurité pour équiper ses terminaux. Le Priv, qui a ouvert la route, a récemment été rejoint par le DTEK50, un smartphone de milieu de gamme présenté comme le plus sécurisé au monde. Autre acteur dans ce domaine, Silent Circle qui propose le Blackphone (en version 2 aujourd’hui) motorisé par Silent OS, un OS également aménagé à partir d’Android visant à garantir la vie privée de son utilisateur.

A lire aussi :

Faille TCP : 80 % des terminaux Android sont touchés

QuadRooter, 4 vulnérabilités qui menacent des millions de smartphones Android

Le chiffrement des smartphones Android n’est pas incassable