Je souhaite savoir si le déverrouillage du "bootloader" et l'installation dans la foulée, d'un "custom recovery" (par ex: TWRP) représentent factuellement tous les deux, une porte ouverte à des applications "malicieuses" qui pourraient prendre le contrôle du smartphone.
Je ne parviens pas depuis des années à me faire une opinion s'appuyant sur une explication claire, objective et technique; je me pose aussi la même question, si seul le "bootloader" est déverrouillé.
Désolé si ces questions sont des non sens, mais je ne le pense pas.
Normalement non, car tu garde tout de même la main sur les autorisations. De plus, si tu n'autorise pas l'installation d'application depuis des sources extèrieur, il ne se passera rien.
Hi Que ton bootloader soit déverrouillé ou pas, tu seras toujours exposé à un risque celui de faire attention à ce que tu installes. Plus tu avances et fais sauter les barrières et plus tu t'exposes...saches aussi que certaines marques ont déjà des malwares pré-installés. Cela fait des années que je roote mes HTC et je n'ai jamais eu une attaque de ce genre...par contre, j'ai réussi à bloquer des logiciels malveillants sur un phone non rooté et la ce fut la galère...il aurait été rooté, j'aurais peut être pu creusé plus loin afin de les supprimer complétement mais cela aurait pu être aussi irréversible pour le phone. Le seul conseil que je peux te donner c'est que si tu ne le sens pas ne le fais pas.
Merci pour ton retour. La question n'est pas de savoir si je le sens ou pas. Je veux bien le faire si je sais où je mets les pieds.
J'essaie depuis des années d'obtenir une analyse des risques inhérents à cette action quand elle est réalisée sur un smartphone.
Cela fait partie de mon caractère et de ma curiosité intellectuelle : comprendre les conséquences de mes actions. D'autres parmi nous dans ce forum se posent peut-être aussi la même question.
Hi @cesa Je pense que tu peux déverrouiller ton bootloader et installer un recovery sans risques d'attaque mais le fait de déverrouiller le bootloader enlève certaines barrières de sécurité d’où la mise en garde sur ce que tu installes par la suite. Installer un recovery est intéressant à la condition que tu sauvegardes ta ROM et pour l'installation d'autres ROM sinon je n'en vois pas l’intérêt.
J'ai toujours été root (sauf en ce moment car pas eu le temps) et jusque là je n'ai jamais eu d'application malveillante. Le root te permet plus de pouvoir sur ton smartphone (comme supprimer des application préinstallées) Si tu ne vas pas chercher des applications sur des sites douteux ou de warez peu de chance que tu ait des soucis. D'ailleurs pour protéger ses données certaines application, de mémoire, ont besoin du root. Je pense par exemple a Xprivacy
XPrivacy n'a pas besoin du root et est obsolète... Le déverrouillage du bootloader permet un accès facilité à des fonctionnalités de bas-niveau mais ça demande un accès physique. Les risques sont vraiment très faibles et encore une fois, les risques tombent à 0,0000000000000000000000000000000000000000000001% (j'ai calculé ) si tu chiffres les données du téléphone.
Alors si tu as calculé, que dire de plus ? Peut-être simplement merci pour cette réponse vraiment détaillllllllllllllllllllllllllllĺllllllllllllllĺllllllllllée :-)
J'avais vu cette application sur le forum XDA il y a quelques semaines, mais notre cher Marcel (M66B) n'était pas très chaud quant à son utilisation.
De plus, il semble que dès que l'application s'appuyant dessus souhaite faire des modifications système comme XPrivacyLua, elle ne fonctionne pas. Si j'ai bien compris... :-)
VirtualXposed est basé sur VirtualApp, qui utilise une librairie native dont le code source n'est pas public. Mauvais point à priori (cf. ce que pense Primokorn du code non public...)
VirtualXposed permet en gros de faire la même chose que le framework Xposed sans déverrouiller le bootloader.
VirtualXposed s'installerait comme n'importe quelle application sur un smartphone n'ayant subi aucune modification système.
Mais VirtualXposed ne peut pas modifier le système. Du coup, une application comme XPrivacyLua ne peut pas s'appuyer dessus pour fonctionner, car elle nécessite d'agir sur des fichiers système.
XPrivacyLua nécessitant entre autres de déverrouiller le bootloader afin d'installer Xposed, VirtualXposed aurait pu être une alternative à Xposed.
Voilà en très gros, mais je laisse à Primokorn le soin de donner plus de détails techniques et/ou amender/corriger mes tentatives d'explications.
P.S. Au fait Zepiii, tu peux constater que je n'ai pas quitté GenMob, même si je tente d'utiliser d'autres canaux de communication à propos de la protection de la vie privée, comme un blog par exemple. :-)
Pour information, j'ai pour l'instant dépublié la poignée d'articles et commentaires de mon blog, en attendant des informations quant à sa mise en conformité au RGPD (Règlement Général sur la Protection des Données) qui s'appliquera dès le 25 mai 2018. Ça chauffe en ce moment sur les forums qui abordent ce sujet, car le Grand jour c'est vendredi cette semaine. Je pense que le RGPD risque d'en décourager plus d'un quant à la tenue de leur blog, les sanctions financières étant plutôt importantes en cas de non conformité de ce dernier.
J'étais tombé dessus depuis un dépôt alternatif F-Droid qui recense des applis open source (et souvent non libres). C'était une appli à creuser et visiblement, elle ne donne rien de bon. Si Xposed permet de faire des choses aussi puissantes, c'est qu'on lui en donne les moyens.
VirtualXposed : - ne permet pas de modifier la partition /system - ne supporte pas les ressources hooks (XPrivacyLua) - ne fonctionne pas avec "certains" modules (je vous laisse estimer le nombre qui se cache derrière)
Concernant la librairie propriétaire, il est légitime de se poser des questions. Ce n'est pas une appli que j'utiliserais.
PS : pour ton blog, j'allais te passer un lien mais visiblement, tu as déjà commenté dessus L'outil PIA de la CNIL, tu as regardé ?
Le RGPD impose de faire un Privacy Impact Assessment (PIA), ou en bon français :-) une analyse d'impact sur la vie privée, dans le cas où la divulgation des données à caractère personnel porterait gravement atteinte à la vie privée des personnes concernées par l'incident.
Je n'ai pas eu le temps à ce jour de regarder l'outil proposé par la CNIL, mais j'ai déjà eu l'occasion de faire ce type d'analyse avec l'aide d'un cabinet d'avocats spécialisé dans le domaine.
P.S. Pour ton blog as-tu pu régler le problème de sa conformité au RGPD ? De mon côté, j'attends des réponses de la société qui héberge le mien, donc la même pour nous deux.
Pour éviter d'être hors sujet sur ce Post (c'est ma faute), on peut ouvrir un nouveau Post dans la rubrique "Sécurité et vie privée" si tu souhaites en discuter plus avant. Qu'en penses-tu ?
![[QUESTION] Déverrouillage du "bootloader" et installation d'un "custom recovery" Empty](https://2img.net/i/empty.gif)
) si tu chiffres les données du téléphone.
