Pari manqué pour Google. La firme de Mountain View a décidé de tuer un protocole de sécurité instauré sur Android 9 : l’Android Protected Confirmation (APC). Ce système, pourtant prometteur, va finalement être mis au placard. La faute à une adoption ridicule de la part des constructeurs tiers.
Pour résumer, cette solution, introduite sur Android 9, permet aux utilisateurs de sécuriser des transactions sensibles en vérifiant notamment l’identité du destinataire et/ou si l’application de paiement est digne de confiance.
“Si l’utilisateur accepte, votre application peut utiliser une clé d’Android Keystore pour signer le message affiché dans la boite de dialogue. La signature indique, avec un degré de confiance très élevé, que l’utilisateur a vu la déclaration et l’a acceptée”, explique Google sur son blog dédié aux développeurs.
Dès le lancement de la fonctionnalité, Google a manifesté de grandes ambitions pour l’APC et envisageait notamment de l’utiliser pour sécuriser des transactions de personne à personne, du transfert d’argent, ou encore l’authentification des utilisateurs. Dans la foulée, Google a assuré que de nombreux partenaires étaient séduits à l’idée d’utiliser l’APC dans leurs produits.
Google wants to deprecate Android Protected Confirmation due to low adoption from OEMs.
Android Protected Confirmation is a security feature introduced in Android 9 that "leverages a hardware protected user interface (Trusted UI) to perform critical transactions completely… pic.twitter.com/KMqqRVwqGF
— Mishaal Rahman (@MishaalRahman) January 3, 2024
GOOGLE FAIT UNE CROIX SUR L’APC, PERSONNE N’EN VOULAIT
Dans un article de blog publié en avril 2023, Google a même déclaré qu’APC “attirait l’attention de l’écosystème en tant que méthode de pointe pour confirmer les actions critiques des utilisateurs via le hardware”. Seulement et d’après le spécialiste Android réputé Mishaal Rahman, Google s’apprête à tuer l’APC. Selon ses informations partagées sur X, le constructeur veut mettre l’APC au placard, la faute au très faible taux d’adoption du protocole par les constructeurs tiers.
Pour cause et d’après Google, “Pixel est le seul OEM qui prend en charge l’interface utilisateur sécurisée et nous souhaitons l’APC/TUI.
Son adoption est faible”, reconnaît le géant américain. Il faut bien l’avouer, constater que seuls les Pixel utilisent l’APC n’augure rien de bon pour l’avenir de cette fonctionnalité. Preuve en est avec les deux derniers patchs déployés par Google sur AOSP, qui ne contiennent aucune mise à jour pour l’APC.