Quel est le problème avec l'avertissement «Le réseau peut être surveillé» persistant d'Android?
La sortie d'Android 4.4 KitKat a apporté de nombreuses améliorations, notamment une sécurité renforcée. Bien que la sécurité puisse être plus stricte, les messages peuvent toujours être un peu cryptiques. Que signifie exactement l'avertissement persistant «Le réseau peut être surveillé» si vous êtes inquiet et que pouvez-vous faire pour vous en débarrasser??
Cher How-To Geek,
J'ai récemment acheté un nouveau téléphone Android, et ce nouveau message d'avertissement m'a un peu effrayé. Il n'est jamais apparu sur mon ancien téléphone Android et maintenant, il apparaît tous les quelques jours ou chaque fois que je redémarre le téléphone. Le message qui clignote dans la barre d'état, puis dans le menu de notification est «Le réseau peut être surveillé», puis si je clique sur le raccourci d'avertissement dans le menu de notification, un menu système intitulé «Identifiants de confiance» s'affiche. ”Avec deux onglets. L'un porte l'étiquette «système» et l'autre, «utilisateur». Il y a des tonnes d'éléments énumérés dans l'onglet «système» et un seul dans l'onglet «utilisateur». Ce qui est étrange, c’est que l’un des éléments répertoriés dans l’onglet utilisateur ressemble à un nom de routeur «netgear».
Je n'ai aucune idée de ce que c'est ou de la raison pour laquelle Android me dit que mon réseau peut être surveillé. Devrais-je être aussi paniqué par ce message que je suis, et que puis-je faire pour le faire disparaître? J'ai joint quelques captures d'écran au cas où j'aurais mal travaillé en décrivant le problème..
Cordialement,
Paranoid Android
Ce genre de situation est précisément la raison pour laquelle nous n'aimions pas particulièrement l'implémentation de la gestion des informations d'identification dans Android 4.4. Le cœur de Google était au bon endroit, mais la façon dont la mise à jour l'a traitée (et a prévenu l'utilisateur) est au mieux inélégant et au pire troublant (pour l'utilisateur final non initié). Jetons un coup d'œil à la nature même du message d'avertissement et à ce que vous pouvez faire à ce sujet..
La source de l'avertissement
D'abord, expliquons Pourquoi vous obtenez ce message d'erreur car Android ne donne pratiquement aucun retour utile à cet égard. Votre téléphone conserve une liste des certificats de sécurité approuvés et fournis par l'utilisateur. Cette longue liste d'entrées sous "Système" que vous avez trouvée dans le menu "Identifiants de confiance" est essentiellement une longue et longue liste blanche d'émetteurs de certificats de sécurité approuvés avec lesquels Google a pré-ensemencé votre téléphone Android. En gros, votre téléphone indique «Oh, d'accord, ces personnes sont dignes de confiance, nous pouvons donc faire confiance aux certificats de sécurité qu'ils ont émis».
Lorsqu'un certificat de sécurité est ajouté à votre téléphone (soit manuellement, par un autre utilisateur, soit de manière malveillante, soit automatiquement, par un service ou un site que vous utilisez) et c'est ne pas émis par l’un de ces émetteurs pré-approuvés, puis la fonctionnalité de sécurité d’Android entre en action avec l’avertissement «Les réseaux peuvent être surveillés». Techniquement, c’est un avertissement précis: si un certificat de sécurité malveillant / compromis est installé sur votre appareil, il est possible que le trafic de votre appareil peut être surveillé dans certaines circonstances. Il est également possible pour une entreprise ou un fournisseur de hotspot d'utiliser des certificats auto-émis sur leur propre matériel à cette fin (bien que, généralement, leurs motivations soient plus anodines).
Malheureusement, l'avertissement émis est inutilement effrayant et manque de clarté: si vous ne savez pas quel est le problème avec les informations d'identification sécurisées et les certificats de sécurité, cet avertissement pourrait tout aussi bien être en binaire..
Un certificat n'a même pas besoin d'être véritablement malveillant pour déclencher les avertissements, mais il doit simplement être émis / signé par une autorité qui ne figure pas dans la liste de «systèmes» sécurisés. Cela signifie que si vous avez signé votre propre certificat pour quelque usage que ce soit (comme établir une connexion sécurisée avec votre serveur domestique), alors Android s'en plaindra. Cela signifie également que si votre entreprise signe elle-même ses certificats pour une utilisation en interne et ne paie pas pour un certificat signé officiellement, vous recevez également un avertissement..
Enfin, et nous sommes pratiquement certains que c’est exactement ce qui s’est passé dans votre cas, si vous vous connectez à un réseau Wi-Fi sécurisé utilisant un certificat de sécurité émis par un émetteur ne figurant pas sur la liste de confiance de votre téléphone, obtenez l'erreur. Techniquement, comme nous l’avons mentionné ci-dessus, la société pourrait utiliser le certificat auto-signé à des fins malveillantes, mais pratiquement la plupart du temps, vous rencontrerez ce problème, car 1) la société ne voudra pas payer les frais d’un public. certificat qu'ils utilisent à des fins privées et 2) ils veulent un contrôle total sur le processus de création et de signature du certificat.
Si vous souhaitez en savoir plus sur le côté technique de l'avertissement (ainsi que sur l'état d'esprit perturbé par le nouveau système de gestion des certificats), vous pouvez consulter ces discussions sur les rapports de bugs Android [1, 2] et ces deux derniers. articles de blog sur GeekTaco [1, 2] traitant de la question en profondeur.
Si vous êtes inquiet?
L’avertissement est formulé très sérieusement, et nous ne vous en voulons pas pour avoir un peu paniqué. Mais devriez-vous réellement être inquiet? Dans la grande majorité des cas, les utilisateurs qui voient cette erreur ne la voient pas car quelqu'un a installé un certificat malveillant sur leur ordinateur et ils sont maintenant en danger. La raison la plus courante est celle décrite ci-dessus: entreprises utilisant des certificats auto-signés ne figurant pas dans l'annuaire des certificats de confiance du système, car ils n'ont jamais été émis par un émetteur agréé..
Étant donné la probabilité que quelqu'un utilisant un certificat malveillant contre vous soit faible et le risque que le certificat fasse de l'avertissement un certificat non malveillant qui n'a tout simplement pas été créé par une autorité de certification vérifiée publiquement, vous n'avez pas à paniquer..
Cela dit, il n’ya aucune raison de garder des certificats inconnus et d’endurer des avertissements qui ne s’appliquent pas à votre situation. Regardons ce que vous pouvez faire dans les deux scénarios.
Que pouvez-vous faire?
La très grande majorité des certificats de sources légitimes doivent être correctement signés et vérifiés. Dans les rares cas où vous avez un certificat non signé par un certificat valide (par exemple, vous l'avez créé vous-même ou votre société l'utilise pour des réseaux internes), vous devez connaître l'origine du certificat car vous avez contribué à sa création ou à une conversation. avec les informaticiens devraient clarifier les choses.
Ainsi, à moins que vous n'utilisiez Android dans un environnement d'entreprise (où vous devriez vérifier auprès de votre personnel informatique pour savoir quel est le contrat avec le certificat, car il pourrait s'agir d'un certificat qu'ils ont créé) ou si vous avez créé le certificat vous-même, la solution la plus simple consiste simplement à: maintenez enfoncés tous les certificats inconnus trouvés dans la catégorie «utilisateur» de la catégorie «certificats de confiance» et supprimez-les (le bouton de suppression se trouve au bas du volet d'informations). Moins les détails non identifiés (surtout dans votre liste de certificats), mieux c'est.
Si vous avez un certificat légitime qui génère l’erreur, car il figure dans la liste «utilisateur» au lieu de la liste «système», vous pouvez (à votre discrétion et à vos risques et périls) déplacer manuellement le certificat de la liste / répertoire utilisateur vers le répertoire. liste système / répertoire. Cette tâche ne doit pas être entreprise à la légère. Par conséquent, si vous n'êtes pas totalement sûr que le certificat de la liste "utilisateur" est sécurisé, soit 1) vous l'avez créé, soit 2) le personnel informatique de votre entreprise a vérifié que c'était l'un de ses certificats. , vous ne devriez pas tenter un déménagement.
Si vous êtes confiant dans la sécurité et l'origine du certificat, Sam Hobbs, ingénieur et passionné d'Android, dispose d'un guide d'instructions clairement rédigé pour déplacer manuellement vos certificats. Felix Ableitner, un autre programmeur et passionné, dispose d'une application open-source qui effectue la même tâche sans le travail en ligne de commande. Encore une fois, à moins que vous ayez un besoin pressant (et bien compris) du certificat, nous vous le déconseillons.
Vous avez une question technique urgente? Envoyez-nous un email à [email protected] et nous ferons de notre mieux pour y répondre..