Silent Circle officialise son Blackphone 2 : Android 5.1 sécurisé pour 800 dollars

Silent Circle officialise son Blackphone 2 : Android 5.1 sécurisé pour 800 dollars

Des permissions revisitées avant l'heure

Avatar de l'auteur
Vincent Hermann

Publié dans

Société numérique

29/09/2015 5 minutes
16

Silent Circle officialise son Blackphone 2 : Android 5.1 sécurisé pour 800 dollars

En janvier 2014, la société Silent Circle lançait le premier Blackphone, pensé avant tout pour la sécurité et le respect de la vie privée. Elle réitère avec la version 2 du smartphone, beaucoup plus puissant et doté de nouvelles capacités. Seulement voilà, à 800 dollars, il faudra y mettre le prix.

Pour ceux qui ont suivi les développements de l’affaire Snowden, Silent Circle n’est pas un nom inconnu. La société proposait initialement un service de courrier électronique sécurisé équivalent à celui de Lavabit. Ce dernier avait été forcé de fermer car Edward Snowden y possédait un compte, ce qui avait déclenché une enquête des autorités et une saisie des serveurs. Silent Circle, pour éviter que le FBI ne vienne fouiller dans ses propres serveurs, avait également pris la décision de fermer son service.

En 2013, Silent Circle s’était associé avec Geeksphone, déjà connu pour avoir produit les premiers modèles sous Firefox OS. Une structure commune avait été créée en Suisse et l’association avait abouti à la production du Blackphone, un téléphone sous Android, ou plutôt une version spécifique du système et équipée de nombreux outils maison. L’orientation était claire : sécurité et respect de la vie privée avant tout.

Un Android modifié et des permissions au cas par cas

Le nouveau Blackphone 2 fonctionne cette fois sur une version modifiée d’Android 5.1. L’une des principales particularités est de pouvoir contrôler finement les autorisations de chaque application. Une nouveauté qui pourtant n’arrive qu’avec Android 6.0 Marshmallow, si tant est que les applications aient été développées en s’appuyant sur la récente mise à jour 8.1 des Google Play Services. Avec le Blackphone 2, on peut par exemple indiquer à Facebook de ne plus accéder aux contacts, et ce à n’importe quel moment.

Le Blackphone 2 continue d’insister sur la séparation des environnements, pour ne pas par exemple que les données personnelles soient accessibles aux applications appartenant à la sphère professionnelle. On peut surtout créer des environnements supplémentaires, avec plus ou moins de protections en fonction de la sensibilité des données qui y sont stockées. La grille des chiffres servant à composer les codes PIN peut modifier l’ordre de présentation afin qu’un éventuel malware ne puisse pas reconnaître le code entré.

Un smartphone pensé avant tout pour l'entreprise

Le smartphone fait également un gros effort sur la sécurité du Wi-Fi, particulièrement perméable en temps normal. Il est relativement aisé en effet d’interroger un appareil pour obtenir la liste des points d’accès et autres routeurs auxquels il a été connecté. Avec les bons outils, on peut retracer l’itinéraire d’un utilisateur. Le Blackphone 2 coupe automatiquement la diffusion quand il n’est pas connecté à un point d’accès de confiance depuis un certain temps.

Le nouveau modèle dispose toujours de la fonctionnalité Silent Phone, qui permet des appels et des SMS/MMS entièrement chiffrés, mais uniquement si les deux correspondants sont équipés de l’appareil. Un Silent Store est présent pour offrir une sélection d’applications dédiées à la sécurité et à la protection de la vie privée. Pour les entreprises, le Silent Manager est dévolu à la gestion de la flotte, car le Blackphone 2 est clairement destiné au monde professionnel. Il est d’ailleurs compatible avec plusieurs systèmes de gestion tels que ceux de MobileIron, Citrix, Good et SOTI et est compatible avec le programme Android for Work de Google.

La configuration matérielle est quant à elle nettement revue à la hausse. On y trouve un SoC Snapdragon 615 de Qualcomm à huit cœurs (mais on ne connait pas la fréquence), épaulé par 3 Go de mémoire vive et 32 Go de stockage, extensibles par un port MicroSD jusqu’à 64 Go. L’écran est de 5,5 pouces et affiche une définition de 1920 x 1080 pixels. Les caméras embarquées affichent 13 mégapixels derrière et 5 mégapixels devant. Quant à la batterie, elle est de 3 060 mAh.

Un tarif premium de 800 dollars

En fait, le seul problème avec le Blackphone 2 (outre sa seule disponibilité aux États-Unis, et prochainement au Royaume-Uni) est qu’il est commercialisé à un tarif élevé : 799 dollars. Un prix très haut de gamme qui le place au-delà du nouvel iPhone 6S, même si l’orientation n’est évidemment pas la même.

Il faut noter à ce sujet que BlackBerry prépare l’arrivée du Priv, la société n’en finissant d’ailleurs plus avec son « teasing ». Cela étant, elle s’est fait une spécialité de la sécurité, et l’arrivée de son tout premier smartphone sous Android et équipé de ses outils maison pourrait intéresser justement les entreprises. Il sera donc particulièrement intéressant d’en connaître le prix et comment il pourrait se positionner sur le terrain de la sécurité. Silent Circle aurait alors peut-être à revoir sa tarification.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un Android modifié et des permissions au cas par cas

Un smartphone pensé avant tout pour l'entreprise

Un tarif premium de 800 dollars

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (16)




Le premier Blackphone, pensé avant tout pour la sécurité et le respect de la vie privée.



Illustration : icône Google Chrome sur la première illustration.<img data-src=" />



Edit :https://silentcircle.com/products-and-solutions/devices/ &gt; certificat SSL non certifié –’



Ce sont des détails mais bon, vu la cible du téléphone …


Du marketing parce que “sécurité” et Android en même temps… Voilà quoi…

&nbsp;



&nbsp;Ou tu fais un OS de A à Z pour la sécurité ou tu mens et t’utilise Android…


Hmm, l’est correct leur certif X.509, le site utilise même HSTS <img data-src=" />



EDIT ; tu serais pas sur du IE 10 ou moins ?



Par contre, c’est sûr que le respect de la vie privée, c’est également (et surtout ?) une bonne “hygiène numérique”.



Sinon, leur machin ne peut pas être sûr dans la mesure où les firmwares du modem ne sont pas libres.


Tu as un chouilla plus d’info qui justifierait de qualifier Android comme non sécurisé de manière “intrinséque” ? Et qui justifierait qu’OSX soit plus sécurisé de base par exemple ?

Et non les différentes failles récentes ne rentrent pas en compte (vu que le même genre de failles existe tout autant sur OSX)








atomusk a écrit :



Tu as un chouilla plus d’info qui justifierait de qualifier Android comme non sécurisé de manière “intrinséque” ? Et qui justifierait qu’OSX soit plus sécurisé de base par exemple ?

Et non les différentes failles récentes ne rentrent pas en compte (vu que le même genre de failles existe tout autant sur OSX)





Il suffit de regarder toutes les failles qui sont tombées cet été et comment elles ne sont pas corrigées chez l’utilisateur final… Il y a quand même des failles ridicules qui donnent tous les droits sur le téléphone en remote <img data-src=" />

&nbsp;





jpaul a écrit :



Edit :https://silentcircle.com/products-and-solutions/devices/ &gt; certificat SSL non certifié –’



Ce sont des détails mais bon, vu la cible du téléphone …





&nbsp; Il faudra que tu changes/mette à jour ton navigateur :https://www.ssllabs.com/ssltest/analyze.html?d=silentcircle.com <img data-src=" /> … ou alors tu es déjà connecté sur les blackbox du gouvernement/renseignement français et tu as oublié de mettre leur certificat racine “pour ta sécurité” <img data-src=" />



iOS : chaque faille “jailbreak” est une faille root sur le téléphone.



Une faille dans une API n’est pas une faille de “l’OS” … tous les OS sont aussi sensibles aux failles.

Après c’est à l’OEM d’appliquer les correctifs “au dessus de l’OS”.



Apres si tu as une preuve qu’un fork de linux est moins sécure qu’un autre OS, vas y … mais il va falloir avoir plus de niveau que “lol il y a des failles”.


Le fait que tu parles d’iOS démontre déjà une certaine partialité (Oui, j’évite le terme fanboy).

&nbsp;



&nbsp;iOS, Windows, Android, même combat. Ca te bouffe absolument toutes tes données que tu le veuille ou non.

&nbsp;



&nbsp;Tu ne peux pas te baser sur ces OS pour prétendre faire un OS sécurisé.








atomusk a écrit :



iOS : chaque faille “jailbreak” est une faille root sur le téléphone.



Une faille dans une API n’est pas une faille de “l’OS” … tous les OS sont aussi sensibles aux failles.

Après c’est à l’OEM d’appliquer les correctifs “au dessus de l’OS”.



Apres si tu as une preuve qu’un fork de linux est moins sécure qu’un autre OS, vas y … mais il va falloir avoir plus de niveau que “lol il y a des failles”.





Il n’y a pas eu que Stagefright cet été ;) l’api fait partie intégrante d’android que tu le veuilles ou non :) sinon comment google aurait pu la patcher ? (enfin soit disant patcher parce que c’était contournable). Il y a bien moins de problèmes sur d’autres plateformes (j’ai pas dit qu’il n’y en avait pas sur ios/wp/bb hein, juste moins) et surtout qui ne s’exploitent pas aussi facilement à distance. Croire que Linux est sécurisé est faux en passant, rien que ce mois-ci, il y a 10 failles dans le kernel ;)&nbsp;

&nbsp;

Google s’est enfin décidé à publier des patchs, cool ! Mais l’utilisateur final restera non sécurisé tant que les oem se bougeront pas réellement donc l’écosystème android reste vulnérable. Et je ne parle pas du Play Store et App Store qui hébergent des milliers d’applis vérolées d’après les dernières infos (histoire d’ajouter une couche de non-sécurisation), tout ça grâce aux devs qui font n’importe quoi :/ bref la sécurité c’est pas encore ça sur mobile…



je reve où tu associe sécurité et confidentialité ? <img data-src=" />



Apres un AOSP sans play service n’envoi rien en particulier … apres en effet, à partir du moment où ils mettent les play services, ce n’est pas la même chose.


Donc ok, il y a des failles dans les OS, ça ne veux pas dire que de manière “intrinsèque” un OS est moins sécure qu’un autre.



Des failles, il y en a eut, il y en a, et il y en aura quel que soit l’OS. Et iOS a aussi son lot de failles de sécurités que tu l’admette ou non.



Apres l’idée que “Android” n’est pas sécure parce que les OEM ne mettent pas à jour, j’ai envie de dire wtf ? <img data-src=" />








atomusk a écrit :



Donc ok, il y a des failles dans les OS, ça ne veux pas dire que de manière “intrinsèque” un OS est moins sécure qu’un autre.



Des failles, il y en a eut, il y en a, et il y en aura quel que soit l’OS. Et iOS a aussi son lot de failles de sécurités que tu l’admette ou non.



Apres l’idée que “Android” n’est pas sécure parce que les OEM ne mettent pas à jour, j’ai envie de dire wtf ? <img data-src=" />



Relis bien mon post, iOS&co ont des failles mais moins nombreuses (et corrigées quand Apple le veut bien <img data-src=" />) et le vecteur d’attaque est souvent en local (ce qui limite déjà pas mal les choses). C’est pas la première fois qu’android tombe à distance ;)

&nbsp;

Android dans sa globalité n’est pas secure à cause des oem, tout comme windows ne l’est pas parce que les gens désactivent/ne font pas les maj : au final, tu te retrouves avec un parc troué (encore plus avec l’attaque du Play Store du moment)



Sachant que la seule raison qui fait de Stagefright une attaque remote est l’affichage automatique de l’image dans un MMS … un peu comme cette vieille faille de iOS :

https://www.cvedetails.com/cve/CVE-2009-2204/





Apres quelle autre attaque remote avait été faite sur Android ?



Apres le débat : c’est plus sécure parce qu’en général, il y en a plus, me fait penser à ma collegue à qui un vendeur a dit : sur Android un antivirus est “OBLIGATOIRE” alors que sur iOS, non !

Juste après ce genre de news :http://appadvice.com/appnn/2015/09/your-copy-of-angry-birds-2-might-be-infected-…



Yep, c’est ce genre de façon de penser qui fait qu’on peut se “permettre” d’installer n’importe quoi sur OSX & iOS <img data-src=" />


Tu critiques les oem, et tu as bien raison d’ailleurs, mais quid de Silent Circle (et des rom alternatives / aosp) ?



Beaucoup de failles sont corrigées par Google mais non dispo à cause des OEM. Si Silent circle (et BlackBerry maintenant) supporte correctement son système il n’y a plus de problème, non ?


Les deux stores ont été infectés <img data-src=" /> pour les antivirus, il ne fait que suivre le recommandations apple qui les supprime de son store <img data-src=" /> http://9to5mac.com/2015/03/19/apple-app-store-antivirus/) mais on est bien d’accord que malheureusement il en faut partout

&nbsp;







CryoGen a écrit :



Tu critiques les oem, et tu as bien raison d’ailleurs, mais quid de Silent Circle (et des rom alternatives / aosp) ?



Beaucoup de failles sont corrigées par Google mais non dispo à cause des OEM. Si Silent circle (et BlackBerry maintenant) supporte correctement son système il n’y a plus de problème, non ?





Ce n’est pas samsung donc à voir dans 2-3 ans <img data-src=" />









John Shaft a écrit :



Hmm, l’est correct leur certif X.509, le site utilise même HSTS <img data-src=" />



EDIT ; tu serais pas sur du IE 10 ou moins ?









mikfr a écrit :



Il faudra que tu changes/mette à jour ton navigateur :https://www.ssllabs.com/ssltest/analyze.html?d=silentcircle.com <img data-src=" /> … ou alors tu es déjà connecté sur les blackbox du gouvernement/renseignement français et tu as oublié de mettre leur certificat racine “pour ta sécurité” <img data-src=" />





Ben merde, Je suis pourtant sous Chrome 40 sur une Debian Jessie. Après c’est au taf donc je sais pas trop par où ça passe mais c’est étrange j’ai pas ce problème sur d’autres sites.



La NSA française t’écoute alors <img data-src=" />