Dear How-To Geek,
I recently bought a new Android phone, and there’s been this new warning message that’s kind of freaking me out a little bit. It never popped up on my old Android phone and now it pops up every few days or whenever I restart the phone. The message that flashes in the status bar and then appears in the notification menu is, “Network May Be Monitored,” and then if I click on the warning shortcut in the notification menu it takes me to a system menu labeled, “Trusted credentials,” with two tabs. One is labeled “system” and one is labeled “user.” There are tons of items listed in the “system” tab and only one in the “user” tab. What’s weird is the one item listed in the user tab looks like a router name “netgear.”
I have no idea what any of this stuff is or why Android is telling me that my network may be monitored. Should I be as freaked out by this message as I am, and what can I do to make it go away? I’ve attached some screenshots in case I’ve done a poor job describing the problem.
Sincerely,
Paranoid Android
Ce genre de situation est précisément la raison pour laquelle nous n’aimons pas particulièrement la mise en œuvre de la gestion des informations d’identité dans Android 4.4. Le cœur de Google était au bon endroit, mais la façon dont la mise à jour l'a traitée (et a prévenu l'utilisateur) est au mieux inélégante et au pire troublante (pour l'utilisateur final non initié). Voyons maintenant quel est le message d’avertissement et ce que vous pouvez faire à ce sujet.
La source de l'avertissement
Tout d’abord, expliquonsPourquoi vous obtenez ce message d'erreur car Android ne donne pratiquement aucun retour utile à cet égard. Votre téléphone conserve une liste des certificats de sécurité approuvés et fournis par l'utilisateur. Cette longue liste d'entrées sous "Système" que vous avez trouvée dans le menu "Identifiants de confiance" est essentiellement une longue et longue liste blanche d'émetteurs de certificats de sécurité approuvés avec lesquels Google a pré-ensemencé votre téléphone Android. En gros, votre téléphone indique «Oh, d'accord, ces personnes sont dignes de confiance, nous pouvons donc faire confiance aux certificats de sécurité qu'ils ont émis».
Lorsqu'un certificat de sécurité est ajouté à votre téléphone (manuellement, de manière malveillante, par un autre utilisateur, ou automatiquement, par un service ou un site que vous utilisez),ne pas émis par l’un de ces émetteurs pré-approuvés, puis la fonctionnalité de sécurité d’Android entre en action avec l’avertissement «Les réseaux peuvent être surveillés». Techniquement, c’est un avertissement précis: si un certificat de sécurité malveillant / compromis est installé sur votre appareil, il est possible que le trafic de votre appareil peut être surveillé dans certaines circonstances. Il est également possible pour une entreprise ou un fournisseur de hotspot d’utiliser des certificats auto-émis sur son propre matériel à cette fin (bien que, généralement, leurs motivations soient plus anodines).
Malheureusement, l’avertissement émis est inutilement effrayant et il n’est pas clair: si vous ne savez pas quel est le problème en ce qui concerne les identifiants de confiance et les certificats de sécurité, cet avertissement pourrait tout aussi bien être en binaire.
Si vous souhaitez en savoir plus sur le côté technique de l'avertissement (ainsi que sur l'état du système de gestion des certificats qui a rendu plus de quelques personnes), vous pouvez consulter ces fils de rapport de bugs Android [1, 2] et ces deux Les articles de blog sur GeekTaco [1, 2] discutent de la question en profondeur.
Devriez-vous être inquiet?
L’avertissement est formulé très sérieusement, et nous ne vous en voulons pas pour avoir été un peu paniqué. Mais devriez-vous réellement être inquiet? Dans la grande majorité des cas, les utilisateurs qui voient cette erreur ne la voient pas parce que quelqu'un a installé un certificat malveillant sur leur ordinateur et qu'ils sont maintenant en danger. La raison la plus typique est celle que nous avons décrite ci-dessus: les entreprises utilisant des certificats auto-signés qui ne figurent pas dans le répertoire du système des certificats de confiance car ils n’ont jamais été émis par un émetteur agréé.
Étant donné la probabilité que quelqu'un utilise un certificat malveillant contre vous comme étant faible et que le certificat fasse de l'avertissement un certificat non malveillant qui n'a pas été créé par une autorité de certification vérifiée publiquement, vous n'avez pas à paniquer.
Cela dit, il n’ya aucune raison de garder des certificats inconnus et d’endurer des avertissements qui ne s’appliquent pas à votre situation. Voyons ce que vous pouvez faire dans les deux scénarios.
Que pouvez-vous faire?
La grande majorité des certificats provenant de sources légitimes doivent être correctement signés et vérifiés. Dans les rares cas où vous avez un certificat non signé par un certificat valide (par exemple, vous l'avez créé vous-même ou votre société l'utilise pour des réseaux internes), vous devez connaître l'origine du certificat car vous avez contribué à sa création ou à une conversation. avec les informaticiens, il faut éclaircir les choses.
Si vous avez un certificat légitime qui génère l’erreur, car il figure dans la liste «utilisateur» au lieu de la liste «système», vous pouvez (à votre discrétion et à vos risques et périls) déplacer manuellement le certificat de la liste / répertoire utilisateur vers le répertoire. liste système / répertoire. Cette tâche ne doit pas être entreprise à la légère. Par conséquent, si vous n'êtes pas absolument sûr que le certificat figurant dans la liste des utilisateurs est sécurisé: 1) vous l'avez créé ou 2) le personnel informatique de votre entreprise a vérifié que c'était l'un de ses certificats., vous ne devriez pas tenter un déménagement.
Si vous êtes sûr de la sécurité et de l'origine du certificat, Sam Hobbs, ingénieur et passionné d'Android, dispose d'un guide d'instructions clairement rédigé pour déplacer manuellement vos certificats. Felix Ableitner, un autre programmeur et passionné, dispose d'une application open source qui effectue la même tâche sans le travail en ligne de commande. Encore une fois, à moins que le certificat ne soit urgent (et bien compris), nous vous le déconseillons.
Vous avez une question technique urgente? Envoyez-nous un email à [email protected] et nous ferons de notre mieux pour y répondre.