Android 15 va renforcer la protection des notifications OTP

Face à l’augmentation des menaces de piratage de comptes, Android 15 s’apprête à améliorer la sécurité des notifications pour les mots de passe à usage unique (OTP), une avancée significative dans la protection de l’accès aux comptes.

Ce qu’il faut retenir:

• Android 15 entend renforcer la sécurité des notifications OTP, répondant ainsi à une menace croissante de piratage.
• Une nouvelle permission, « RECEIVE_SENSITIVE_NOTIFICATIONS », limiterait l’accès aux notifications sensibles à certaines applications système ou spécifiées.
• L’introduction d’un indicateur « OTP_REDACTION » dans Android 15 pourrait masquer les notifications OTP sur l’écran de verrouillage, empêchant leur interception par des applications malveillantes.

Avec la menace croissante du piratage de comptes, l’authentification à deux facteurs (2FA) joue un rôle crucial dans la sécurisation des informations et l’accès aux comptes. Les mots de passe à usage unique (OTP), envoyés par e-mail ou SMS, constituent une forme de 2FA, offrant rapidité et facilité d’utilisation. Toutefois, cette méthode s’avère la moins sécurisée en raison de la possibilité pour certaines applications d’accéder aux notifications et d’intercepter ces messages OTP sensibles. Google semble prêt à combattre ce risque de sécurité dans Android 15, selon un rapport d’Android Authority.

Mishaal Rahman, expert Android, a découvert une nouvelle autorisation dans la mise à jour QPR Beta 1 nommée “RECEIVE_SENSITIVE_NOTIFICATIONS”. Rahman souligne que cette autorisation possède un « niveau de protection de rôle|signature », permettant uniquement aux applications signées par des fabricants ou spécifiées d’accéder à ces notifications.

Rahman spéculé que l’accès à cette permission serait refusé aux applications tierces, se limitant probablement à certaines applications système. Cette autorisation est liée à une nouvelle fonctionnalité de la plateforme en cours de développement, destinée à empêcher les applications non fiables d’accéder aux notifications sensibles, notamment celles permettant de lire ou d’agir sur toutes les notifications.

À ce stade, Google n’a pas confirmé si les codes OTP et 2FA sont directement concernés par ce code bêta. Cependant, Rahman a également repéré un indicateur « OTP_REDACTION » dans le code source d’Android 14, qui masquerait les notifications OTP sur l’écran de verrouillage. Rahman estime que cet indicateur, non utilisé dans Android 14, devrait logiquement être implémenté dans Android 15.

Actuellement, les applications ayant accès aux notifications peuvent intercepter tous les messages OTP reçus, constituant un risque de sécurité évident en présence d’applications malveillantes. Si mise en œuvre, cette nouvelle fonctionnalité pourrait marquer un progrès significatif dans la réduction de ce type de menace sécuritaire.

La première préversion pour développeurs d’Android 15 a été lancée il y a quelques jours, mettant en avant la confidentialité et la sécurité comme domaines principaux d’intérêt pour Google. L’annonce publique d’Android 15 est prévue pour plus tard cette année lors du Google I/O 2024.