Tor Project dispose depuis peu d’un prototype de système Android tourné vers la sécurité. Basé sur Copperhead OS, une distribution Android renforcée, il est entièrement tourné vers la vie privée et l’utilisation du réseau Tor.

Mission Improbable : c’est le curieux nom donné par Tor Project à son prototype de système Android. Il est essentiellement conçu par Mike Perry, l’un des développeurs de Tor. Dans un billet de blog, il explique que l’idée est d’abord de montrer une « possible direction pour Tor sur mobile ».

Le ton et l’orientation sont très clairs : « Nous essayons de prouver qu’il est possible de concevoir un téléphone qui respecte les choix de l’utilisateur, réduit grandement la surface d’attaque et fournit une direction pour l’écosystème, en tâchant de répondre aux besoins des utilisateurs qui ont besoin d’une grande sécurité ». Le développeur se dit conscient de l’ampleur de la tâche, insistant sur la notion de prototype et attendant les retours des utilisateurs.

Un prototype basé sur Copperhead OS

Mission Improbable ne réinvente pas la roue. Plutôt que de s’attaquer directement à la matière très malléable d’Android, Mike Perry a préféré se tourner directement vers Copperhead OS, une version d'Android dont la sécurité a été renforcée. Le développeur y voit de nombreux avantages. L’exploitation des éventuelles failles est ainsi rendue plus complexe par les mécanismes de protection.

Outre une présentation d’adresses MAC aléatoires pour le Wi-Fi, il supporte également le boot vérifié, empêche les applications système d’être remplacées par d’autres provenant du Play Store et interdit toute bytecode sur les partitions ayant des droits en écriture.

Une installation réservée pour l'instant aux Nexus 6 P et 5X

Pour l’instant, Mission Improbable ne peut être installé que sur les Nexus 6P et 5X (ce dernier ne pourra par contre pas recevoir les mises à jour). De futures évolutions pourront éventuellement prendre en charge d’autres modèles, mais ils seront limités aux gammes Nexus et Pixel, les seules selon Mike Perry à être compatibles avec le boot vérifié et la gestion des clés qui l’accompagne.

L’installation met donc en place un socle Copperhead, sur lequel on va retrouver des composants et applications comme Orbot et Orwall, SuperUser, Google Play ainsi que MyAppList, complété d’une liste d’applications recommandées par F-Droid. Perry explique d’ailleurs le choix opéré sur SuperUser et OrWall plutôt que sur une solution VPN : les API VPN d’Android n’étant pas considérées comme suffisamment fiables, le développeur préfère se tourner vers un vrai pare-feu.

La présence de Google Play peut également surprendre. Deux raisons sont données : les utilisateurs peuvent avoir envie d’aller y chercher des applications, et il est nécessaire au bon fonctionnement de Signal, l’application de messagerie chiffrée de bout en bout. Pour ce dernier, Mike Perry note que si Google Play est nécessaire, l’utilisateur n’a pas forcément besoin du compte Google. Il peut en effet récupérer le paquet APK et le charger manuellement (en contrôlant la fiabilité de la source évidemment).

Mike Perry regrette la fermeture progressive d'Android

Outre la sécurité et la vie privée, Mike Perry donne une autre piste de réflexion sur les raisons qui ont poussé à la création de ce projet. Le développeur parle ainsi « d’hostilité grandissante de Google envers Android en tant que plateforme open source ». Il considère que les utilisateurs sont en danger face à une évolution très rapide du système, et que les développeurs tiers doivent faire face à des processus de plus en plus opaques. Un modèle qu’il résume par la maxime « Regardez, mais ne touchez pas ».

Il reproche à Google de ne considérer le « verrouillage de la plateforme » que comme « l'unique solution pour lutter contre la fragmentation et l'insécurité qui en découle ». Ainsi, plutôt que de simplement déplacer des composants vers Google Play (voir notre actualité sur le sujet), Perry recommande plutôt un cycle de développement plus transparent et de motiver les constructeurs à supporter leurs appareils mobiles beaucoup plus longtemps. Pourquoi pas en changeant directement la licence d’AOSP (Android Open Source Project) en imposant ce support.

Ceux qui veulent en savoir plus pourront lire l’annonce complète du projet Mission Improbable sur le site officiel de Tor. L’installation elle-même se fait via une procédure qui n’est clairement pas faite pour le grand public, ce qui n’a rien d’étonnant pour un prototype de cet acabit. Elle passe par la récupération d’une image Copperhead OS et plusieurs commandes, à réaliser depuis Linux.