Android P : les applications devront utiliser TLS

Par:
fredericmazue

lun, 16/04/2018 - 17:11

Les applications conçues pour Android, la prochaine mouture du système d'exploitation de Google, devront, par défaut, utiliser TSL (Transport Layer Security) pour communiquer, annonce Mountain View dans un billet.

Google justifie cette décision ainsi : Android considère que tous les réseaux sont potentiellement hostiles et que le trafic crypté doit donc être utilisé à tout moment, pour toutes les connexions. Les appareils mobiles sont particulièrement à risque car ils se connectent régulièrement à de nombreux réseaux différents, tels que le Wi-Fi dans un café.

Pour Google, il n'y a rien de plus simple : Une fois que votre serveur prend en charge TLS, il vous suffit de modifier les URL de vos réponses aux applications et aux serveurs, de http: // à https: //. Votre pile HTTP gère le handshake TLS sans plus de travail.         

Mais Google tient quand même compte du fait que pour des 'raisons héritées' des applications peuvent malgré tout nécessiter du trafic en clair. Dans ce cas, le développeur pourra configurer explicitement la sécurité réseau de son application pour communiquer en clair vers un domaine ou un ensemble de domaines. Par exemple :

<network-security-config>
  <domaine-config cleartextTrafficPermitted = "true" >
    <domaine includeSubdomains = "true" > insecure.example.com </ domaine>
    <domaine includeSubdomains = "true" > insecure.cdn.example.com < / domaine>
  </ domain-config>
</ network-security-config>