Skip to main content

Quel est le problème avec l’avertissement «Le réseau peut être surveillé» persistant d’Android?

Quel est le problème avec l’avertissement «Le réseau peut être surveillé» persistant d’Android?

Geoffrey Carr

La sortie d'Android 4.4 KitKat a apporté de nombreuses améliorations, notamment une sécurité améliorée. Bien que la sécurité puisse être plus stricte, les messages peuvent toujours être un peu cryptiques. Que signifie exactement l'avertissement persistant «Le réseau peut être surveillé», si vous êtes inquiet, et que pouvez-vous faire pour vous en débarrasser?

Dear How-To Geek,

I recently bought a new Android phone, and there’s been this new warning message that’s kind of freaking me out a little bit. It never popped up on my old Android phone and now it pops up every few days or whenever I restart the phone. The message that flashes in the status bar and then appears in the notification menu is, “Network May Be Monitored,” and then if I click on the warning shortcut in the notification menu it takes me to a system menu labeled, “Trusted credentials,” with two tabs. One is labeled “system” and one is labeled “user.” There are tons of items listed in the “system” tab and only one in the “user” tab. What’s weird is the one item listed in the user tab looks like a router name “netgear.”

I have no idea what any of this stuff is or why Android is telling me that my network may be monitored. Should I be as freaked out by this message as I am, and what can I do to make it go away? I’ve attached some screenshots in case I’ve done a poor job describing the problem.

Sincerely,

Paranoid Android

Ce genre de situation est précisément la raison pour laquelle nous n’aimons pas particulièrement la mise en œuvre de la gestion des informations d’identité dans Android 4.4. Le cœur de Google était au bon endroit, mais la façon dont la mise à jour l'a traitée (et a prévenu l'utilisateur) est au mieux inélégante et au pire troublante (pour l'utilisateur final non initié). Voyons maintenant quel est le message d’avertissement et ce que vous pouvez faire à ce sujet.

La source de l'avertissement

Tout d’abord, expliquonsPourquoi vous obtenez ce message d'erreur car Android ne donne pratiquement aucun retour utile à cet égard. Votre téléphone conserve une liste des certificats de sécurité approuvés et fournis par l'utilisateur. Cette longue liste d'entrées sous "Système" que vous avez trouvée dans le menu "Identifiants de confiance" est essentiellement une longue et longue liste blanche d'émetteurs de certificats de sécurité approuvés avec lesquels Google a pré-ensemencé votre téléphone Android. En gros, votre téléphone indique «Oh, d'accord, ces personnes sont dignes de confiance, nous pouvons donc faire confiance aux certificats de sécurité qu'ils ont émis».

Lorsqu'un certificat de sécurité est ajouté à votre téléphone (manuellement, de manière malveillante, par un autre utilisateur, ou automatiquement, par un service ou un site que vous utilisez),ne pas émis par l’un de ces émetteurs pré-approuvés, puis la fonctionnalité de sécurité d’Android entre en action avec l’avertissement «Les réseaux peuvent être surveillés». Techniquement, c’est un avertissement précis: si un certificat de sécurité malveillant / compromis est installé sur votre appareil, il est possible que le trafic de votre appareil peut être surveillé dans certaines circonstances. Il est également possible pour une entreprise ou un fournisseur de hotspot d’utiliser des certificats auto-émis sur son propre matériel à cette fin (bien que, généralement, leurs motivations soient plus anodines).

Malheureusement, l’avertissement émis est inutilement effrayant et il n’est pas clair: si vous ne savez pas quel est le problème en ce qui concerne les identifiants de confiance et les certificats de sécurité, cet avertissement pourrait tout aussi bien être en binaire.

Il n’est même pas nécessaire que le certificat soit véritablement malveillant pour déclencher les avertissements; toutefois, il doit simplement être émis / signé par une autorité ne figurant pas dans la liste «système» de confiance. Cela signifie que si vous avez signé votre propre certificat pour quelque usage que ce soit (comme établir une connexion sécurisée avec votre serveur domestique), alors Android s'en plaindra. Cela signifie également que si votre entreprise signe elle-même ses certificats pour une utilisation en interne et ne paie pas pour un certificat signé officiellement, vous recevrez également un avertissement.

Enfin, et nous sommes presque certains que c'est exactement ce qui s'est passé dans votre cas, si vous vous connectez à un réseau Wi-Fi sécurisé utilisant un certificat de sécurité d'un émetteur ne figurant pas sur la liste de confiance de votre téléphone, vous obtenez l'erreur. Techniquement, comme nous l’avons mentionné ci-dessus, la société pourrait utiliser le certificat auto-signé à des fins malveillantes, mais pratiquement la plupart du temps, vous rencontrez ce problème, ce qui a pour effet: 1) que la société ne veut pas payer les frais d’un public certificats qu’ils utilisent à des fins privées et 2) ils veulent un contrôle total sur le processus de création et de signature des certificats.

Si vous souhaitez en savoir plus sur le côté technique de l'avertissement (ainsi que sur l'état du système de gestion des certificats qui a rendu plus de quelques personnes), vous pouvez consulter ces fils de rapport de bugs Android [1, 2] et ces deux Les articles de blog sur GeekTaco [1, 2] discutent de la question en profondeur.

Devriez-vous être inquiet?

L’avertissement est formulé très sérieusement, et nous ne vous en voulons pas pour avoir été un peu paniqué. Mais devriez-vous réellement être inquiet? Dans la grande majorité des cas, les utilisateurs qui voient cette erreur ne la voient pas parce que quelqu'un a installé un certificat malveillant sur leur ordinateur et qu'ils sont maintenant en danger. La raison la plus typique est celle que nous avons décrite ci-dessus: les entreprises utilisant des certificats auto-signés qui ne figurent pas dans le répertoire du système des certificats de confiance car ils n’ont jamais été émis par un émetteur agréé.

Étant donné la probabilité que quelqu'un utilise un certificat malveillant contre vous comme étant faible et que le certificat fasse de l'avertissement un certificat non malveillant qui n'a pas été créé par une autorité de certification vérifiée publiquement, vous n'avez pas à paniquer.

Cela dit, il n’ya aucune raison de garder des certificats inconnus et d’endurer des avertissements qui ne s’appliquent pas à votre situation. Voyons ce que vous pouvez faire dans les deux scénarios.

Que pouvez-vous faire?

La grande majorité des certificats provenant de sources légitimes doivent être correctement signés et vérifiés. Dans les rares cas où vous avez un certificat non signé par un certificat valide (par exemple, vous l'avez créé vous-même ou votre société l'utilise pour des réseaux internes), vous devez connaître l'origine du certificat car vous avez contribué à sa création ou à une conversation. avec les informaticiens, il faut éclaircir les choses.

Ainsi, à moins que vous n'utilisiez Android dans un environnement d'entreprise (où vous devriez vérifier auprès de votre personnel informatique pour savoir quel est le contrat avec le certificat, car il s'agit peut-être d'un certificat qu'ils ont créé) ou si vous avez créé le certificat vous-même, la solution la plus simple consiste simplement à: maintenez enfoncés tous les certificats inconnus trouvés dans la catégorie «utilisateur» de la catégorie «certificats de confiance» et supprimez-les (le bouton de suppression se trouve au bas du volet d'informations). Moins vous perdez les éléments non identifiés (en particulier dans votre liste de certificats), mieux c'est.

Si vous avez un certificat légitime qui génère l’erreur, car il figure dans la liste «utilisateur» au lieu de la liste «système», vous pouvez (à votre discrétion et à vos risques et périls) déplacer manuellement le certificat de la liste / répertoire utilisateur vers le répertoire. liste système / répertoire. Cette tâche ne doit pas être entreprise à la légère. Par conséquent, si vous n'êtes pas absolument sûr que le certificat figurant dans la liste des utilisateurs est sécurisé: 1) vous l'avez créé ou 2) le personnel informatique de votre entreprise a vérifié que c'était l'un de ses certificats. , vous ne devriez pas tenter un déménagement.

Si vous êtes sûr de la sécurité et de l'origine du certificat, Sam Hobbs, ingénieur et passionné d'Android, dispose d'un guide d'instructions clairement rédigé pour déplacer manuellement vos certificats. Felix Ableitner, un autre programmeur et passionné, dispose d'une application open source qui effectue la même tâche sans le travail en ligne de commande. Encore une fois, à moins que le certificat ne soit urgent (et bien compris), nous vous le déconseillons.


Vous avez une question technique urgente? Envoyez-nous un email à [email protected] et nous ferons de notre mieux pour y répondre.

Link
Plus
Send
Send
Pin