Mastodawn

− https://www.frandroid.com/android/3007631_grapheneos-vs-le-reste-du-monde-la-guerre-des-roms-android-est-relancee

La suite, on en parlait ce matin…

⋅ GrapheneOS vs le reste du monde : la guerre des ROMs Android est relancée

#Android #Google #OpenSource #GrapheneOS

Applications bancaires bloquées : la guerre éclate entre les créateurs d'Android alternatifs

Vous essayez d'utiliser votre application bancaire sur un smartphone dégooglisé et tout bloque ? C'est le quotidien frustrant des utilisateurs de ROMs

Frandroid

Vincent Mar 10

@Steve12L le problème c'est surtout que GrapheneOS est US et les autres EU. Aussi, son alliance avec Motorola fait fuir certain.

Estec Mar 10

@VinCep73 @Steve12L Canadien plutôt

Vincent Mar 11

@estec @Steve12L my bad, really thought it was US

Xtreix Mar 14

@VinCep73 @Steve12L La fondation à but non lucratif GrapheneOS est basé au Canada, à Toronto.

Il y a 3 directeurs, Daniel Micay est canadien et fondateur, Dmytro Mukhomor est ukrainien et développeur en chef, puis un vient du Kazakhstan mais j'ai oublié son nom.

Etant un projet open-source avec du travail uniquement à distance, les autres développeurs peuvent venir du monde entier.

https://grapheneos.org/articles/attestation-compatibility-guide

Xtreix Mar 14

@Steve12L Unified Attestation est une initiative anti-concurrentielle illégale lancé par ce qu'on appel dans le juridique, un cartel.

Les utilisateurs ne devraient pas dépendre d'une autorité centralisée pour le choix de leurs OS, l'objectif est d'imposer leurs produits selon leurs critères alors que les personnes qui y sont à l'origine ne sont pas dignes de confiance et font du marketing trompeur pour attirer les gens vers leurs produits à la sécurité hautement défaillante qui ne peuvent pas protéger un minimum les données confidentielles des utilisateurs, mais au contraire les exposent encore plus aux attaques et aux violations de données.

L'attestation matériel proposé par GrapheneOS est neutre et fonctionnelle, à contrario, proposer la même chose que Google sous un autre nom n'est pas une solution.

PS : GrapheneOS et les autres ne sont pas des ROMs mais des systèmes d'exploitation, ROM = Read Only Memory, ce terme à été popularisé par des communautés de moddeurs comme XDA, si ces personnes comprennent que l'on parle d'un OS, il reste techniquement incorrecte et fait partie du problème en créant de la confusion et une mauvaise source d'info chez les personnes qui ne connaissent pas le sujet et une mauvaise image chez les OEM.

GrapheneOS attestation compatibility guide

Guide on using remote attestation in a way that's compatible with GrapheneOS.

GrapheneOS

Ange des ténèbres 🐈Mar 10

MMR Nmd Mar 10

@Steve12L Comment dire ?
It was about fucking time !

@MMRnmd Un peu oui !

@Steve12L Punaise, c'est pas trop tôt !!

Super nouvelle 🎉

@angedestenebres Yep, excellente nouvelle !
Faut mettre ça dans le #KhrysPresso ^^

Cc @Khrys

IlarioQ Mar 10

@angedestenebres @Steve12L c'est à dire que on sera toujours contrôlé mais avec un logiciel open source?

@ilarioq Trop tôt pour dire ce qu'il se passera @angedestenebres

Ange des ténèbres 🐈Mar 10

@Steve12L @ilarioq En soi, y'a plusieurs choses intéressantes : opensource et solution décentralisée.

C'est un sacré pas en avant par rapport à aujourd'hui où Google s'occupe de tout...

@angedestenebres @Steve12L @ilarioq

Torrone 🥔 🍄Mar 10

Il n'y a aucun grand acteur du secteur ni soutient des pouvoirs publics. Je ne vois pas trop comment ça pourrait être adopté au-delà de quelques projets open-source.

@Torrone S'il y a une réelle volonté, ça aboutira.
Il faut attendre de voir ce que ça peut donner et ce qui sera décidé. @angedestenebres @ilarioq

IlarioQ Mar 10

@Steve12L @angedestenebres bien sur trop tôt. Je crois pas que Google cèdera, on à toutes les compétences pour se passer d'eux, mais bons les USA achètent nos vins, nos fromages et on peut pas leurs faire ce déplaisir.

Arnaud Minable Mar 10

@ilarioq @Steve12L @angedestenebres Est-ce que le fond du problème n'est pas [...] votre appli bancaire [..] tout simplement ?

lebout2canap ⏚Mar 10

@Steve12L @angedestenebres Je n’ai pas creusé la question, mais tout le monde n’a pas l’air convaincu qu’il s’agisse d’une bonne nouvelle : https://grapheneos.social/@GrapheneOS/116200110686604617.

@lebout2canap Alors…
Les messages pro GrapheneOS anti e/os/ (et autres) sur lemmy, on les lit hein !
On défend les mêmes valeurs mais "c'est nous GrapheneOS les meilleurs" !
Bullshit !
C'est quand qu'il vont comprendre ?
Faut faire quoi de plus ?
Ça me désespère…
Si j'ai tout arrêté dans mes combats numériques, q'est qu'il y a des raisons.
Bordel, ils ne comprennent rien ou n'ont pas envie de comprendre.
@angedestenebres

lebout2canap ⏚Mar 10

@Steve12L @angedestenebres Votre réponse m’a obligé à aller tout de suite lire tout le thread (au lieu de ce soir au mieux), je m’attendais quand même à autre chose comme argumentations. Désolé pour le bruit.

Zgou 🐝Mar 10

@Steve12L @lebout2canap @angedestenebres Surtout qu'il y a une grande différence entre Play Integrity dont l'autorité est Google et qui nécessite d'autres clauses pour être certifié, et ce nouveau projet qui fonctionne en consortium, dont GrapheneOS pourrait simplement rejoindre pour être certifié 🙄

halletienne - tinou Mar 10

@Steve12L @lebout2canap @angedestenebres Je vais pas rentrer dans le fameux drama GOS vs e/os/. Mais l'argument de GOS est simple et valide je trouve : ni google ni l'UE ne devrait dire quel appareil/os je dois utiliser. Si l'UE doit faire quelque chose c'est nous débarrasser du 'Play Integrity' et c'est tout

Yurienu Mar 10

@halletienne @Steve12L @lebout2canap @angedestenebres Ça va plus loin que ça : la vérification d'intégrité n'a aucun intérêt car elle autorise des appareils totalement obsolètes plus mis à jour à passer la vérification, mais pas d'autres à jour et plus sécurisés.

Pour pouvoir autoriser une appli à s'exécuter dans un environnement "sécurisé", il faut que les banques définissent ce qu'ils entendent par "sécurisé".

En attendant, la méthode actuelle et la "solution" alternative open source proposée ne garantit aucune sécurité, c'est même presque le contraire (empêche de passer sur une ROM maintenue quand le fabricant ne fait plus de mise à jour).

optimistique33 Mar 10

@Steve12L c'est plus qu'urgent !
Je me rends compte à quel point nous sommes vulnérables et dans tant de domaines.

BetaRays Mar 10

@Steve12L @sebsauvage Mais euh ça vérifie quoi alors ? Parce que Play Integrity c’est censé vérifier si oui ou non le logiciel a été modifié ou le bootloader débloqué ou quelque chose comme ça, mais si on veut que ça marche avec des ROMs customs comme LineageOS (qui ne recommandent pas de reverrouiller le bootloader), c’est quelle propriété de sécurité qu’on veut vérifier ?

Thomas Lavergne Mar 10

@Steve12L

> Sur Android, c'est Google qui décide si votre appli bancaire a le droit de fonctionner.

Ça, je ne comprends pas bien.

Qui oblige l'appli bancaire à vérifier l'intégrité du téléphone pour bien fonctionner? Quelle loi l'y oblige?

Partant du principe que "non, rien ne les y oblige", pourquoi le font-elles quand même?

On peut penser qu'elles le font pour se délester d'une résponsabilité: qq'un (Google) propose une API simple et rapide qui prend en charge une partie de la vérification d'authenticité, que l'appli bancaire n'a plus à faire elle même (économies). On s'en fout que ce ne soit pas un bon système de vérification: tant que la banque n'a pas à le faire elle même, elle n'est pas super regardante.

Dès lors, l'initiative UnifiedAttestation me semble intéressante: elle veut proposer une API alternative open source (et européenne) pour rendre le même service. Si ça marche, les applis bancaires pourront interroger Google, interroger UifiedAttestation, et se contenter d'une réponse satisfaisante.

Tout ça part de mon postulat que Google n'oblige pas les applis bancaires à utiliser leur API de vérification: c'est un service qu'ils rendent. Si quelqu'un s'y connait je veux bien une confirmation.