Discussion :

[Michael Guilloux]

La conférence Google I/O 2015 dévoile les projets Abacus et Vault
Qui apportent des solutions pour sécuriser vos dispositifs mobiles et PC

Ouverte le 28 mai, la conférence Google I/O 2015 semble avoir été à la hauteur des attentes des développeurs. La première journée a donné lieu à la présentation d’Android M (le successeur de Lollipop) et Android Pay (la solution de paiement mobile de Google), entre autres. Mais la firme de Mountain View a réservé le 2è jour de la fête pour dévoiler des projets époustouflants en matière de sécurité. C’est le groupe ATAP - l’unité de recherche de Google dédiée aux projets spéciaux - qui s’est chargé de présenter le projet Abacus et le projet Vault, qui apportent des solutions pour sécuriser vos dispositifs mobiles et PC.

Le projet Abacus vise à éliminer les mots de passe une bonne fois pour toute sur vos dispositifs Android. L’idée est de faire en sorte que votre smartphone soit en mesure de savoir qui vous êtes par vos habitudes, la façon dont vous tapez, la manière dont vous marchez, votre manière de parler, entre autres caractéristiques. Cela permettrait à votre téléphone Android de reconnaitre lorsque votre smartphone tombe dans de mauvaises mains et exiger l’authentification de l’utilisateur comme il le fait habituellement.

Pour que votre smartphone puisse vous reconnaitre, le projet Abacus combine une variété de capteurs qui permettent de collecter des informations sur vos habitudes. A partir de ces données, un score de confiance est généré en temps réel pendant que vous passez votre journée, pour vérifier que c’est bien vous qui utilisez votre smartphone. Les scores de confiance vous permettent de vous connecter à des sites web ou applications sans avoir à saisir vos paramètres d’identification. Des scores élevés vous donneront accès aux applications mobiles de votre banque par exemple, alors que des scores faibles ne vous donneront qu’un accès plus réduit, à des parties moins sensibles tels que les jeux.

Pour ceux qui s’interrogent sur le niveau de sécurité offert par le projet Abacus, Google explique que ses expériences ont prouvé que son nouveau système de sécurité est 10 fois plus sûr que les systèmes d’empreintes digitales.

Le système Abacus est le résultat d’un partenariat de Google avec de nombreuses universités et 25 experts de 16 institutions, qui ont participé à un sprint de recherche intensive de 90 jours. En espérant que le projet passe le plus tôt possible dans le monde réel, le groupe ATAP compte apporter le système dans des millions de dispositifs Android.

Le deuxième projet en matière de sécurité que Google a dévoilé lors de la 2è journée de sa conférence a été baptisé Vault. Il s’agit d’un ordinateur sécurisé, condensé dans une carte micro SD.

Vault est doté d’un processeur ARM exécutant un système d'exploitation sécurisé axé sur la vie privée et la sécurité des données appelé ARTOS. Il contient également une puce NFC et utilise une suite de services cryptographiques qui lui permettent de fonctionner comme un coffre-fort numérique mobile pour vos données les plus sensibles. Il permet de tout chiffrer, en allant des conversations de chat aux fichiers et tout le reste. Dans une démonstration, l'ATAP a montré comment Vault pourrait être utilisé pour sécuriser une conversation de chat. Vault prend soin de chiffrer le message avant de l'envoyer. Les messages sont ensuite déchiffrés automatiquement par les appareils, mais sans jamais voir les clés ou algorithmes de chiffrement.

La micro SD sécurisée peut fonctionner avec un ordinateur ou un téléphone, alors que l’appareil hôte le considère juste comme un dispositif de stockage générique. Il peut également fonctionner sur une variété de plateformes en dehors d’Android, à savoir sur iOS, Windows et Linux.

Google explique que Vault est conçu de sorte à être exploité par les développeurs sans que ces derniers aient à effectuer un travail supplémentaire avant qu’il soit prêt à l’utilisation. La micro SD est dotée d’un système de fichiers standard avec seulement deux fichiers, l’un pour la lecture et l’autre pour l’écriture.

L’unité de recherche avancée de Google a annoncé un SDK open source du produit afin que les développeurs puissent le tester. L’ATAP a également construit une version de Vault destinée aux entreprises mais Google aurait également des plans pour une version dédiée aux consommateurs dans l'avenir.

Sources : Projet Abacus, Projet Vault

Et vous ?

Que pensez-vous des projets Abacus et Vault de Google ?

[tbarry]

Vault prend soin de chiffrer le message avant de l'envoyer. Les messages sont ensuite déchiffrés automatiquement par les appareils, mais sans jamais voir les clés ou algorithmes de chiffrement.

c'est un peu flou comme protocole de chiffrement.
A un moment ou à un autre, celui qui déchiffre doit bien savoir quel Algo. est utilisé et avec quelle clé déchiffrer

[marsupial]

c'est un peu flou comme protocole de chiffrement.
A un moment ou à un autre, celui qui déchiffre doit bien savoir quel Algo. est utilisé et avec quelle clé déchiffrer

Absolument pas nécessaire. Mais vous apprendrez ceci à l'école du hacking qui n'a aucun professeur.

[Vespiras]

Super projets, techniquement parlant ! Oui je dit techniquement. Sachez que je suis loin d'être technophobe, mais j'ai juste un peu peur pour Abacus, avec les données enregistrées constamment sur ce qu'on fait. L'étude comportementale détaillée va forcément passer par l'enregistrement des frappes, des mouvements, des positions gps, des visites de sites ou ouvertures d'applications, heures d'utilisation, ... etc et va venir rajouter une couche. Pour moi, rien ne vaut un bon mot de passe de 10 - 12 caractères avec des majuscules/minuscules, des chiffres et un ou deux caractères spéciaux

J'en viens donc à me demander comment ils font pour évaluer que leur système est "10" fois plus sécurisé qu'une authentification biométrique. si je viens a changer mes habitudes par simple envie, je ne peux plus accéder à mes comptes ... ça parait insensé. Par contre je serais curieux de savoir, techniquement, comment ils vont établir de l’interopérabilité avec tous les sites qui utilisent un système de couple login/password classiques. Est-ce que ca sera aux sites d'adapter leur système d'autentification ? un password store géré par Abacus ?

[blafarus]

Le projet vault à l'air assez passionnant. Est ce qu'il y a un lieux pour suivre son actualité? Je n'ai rien trouvé sur reddit :/

[wlofab]

Le projet vault à l'air assez passionnant. Est ce qu'il y a un lieux pour suivre son actualité? Je n'ai rien trouvé sur reddit :/

Pour suivre le projet Vault:
https://github.com/projectVault/orp