## Transparence Binaire pour Android **Google** a annoncé l'extension de la [Transparence Binaire](https://binary.transparency.dev/) pour Android afin de protéger l'écosystème contre les attaques de la chaîne d'approvisionnement. "Ce nouveau registre public garantit que les applications Google sur votre appareil sont exactement ce que nous avions l'intention de construire et de distribuer", ont déclaré les équipes produit et sécurité de Google [ici](https://blog.google/security/bringing-binary-transparency-to-the-android-ecosystem/). L'initiative s'appuie sur les fondations de la [Transparence Binaire des Pixel](https://security.google.com/2023/08/pixel-binary-transparency-verifiable.html), que Google a [introduite](https://security.google.com/2021/10/pixel-6-setting-new-standard-for-mobile.html) en octobre 2021 pour renforcer l'intégrité logicielle. Elle garantit que les appareils Pixel n'exécutent que des logiciels de système d'exploitation (OS) vérifiés en conservant un [journal public cryptographique](https://developers.google.com/android/binary_transparency/pixel_tech_details) qui enregistre les métadonnées des images d'usine officielles. L'infrastructure de sécurité vérifiable reflète la [Transparence des Certificats](https://certificate.transparency.dev/howctworks/), un cadre ouvert qui exige que tous les certificats SSL/TLS émis soient enregistrés dans des journaux publics, inaltérables et cryptographiquement vérifiables afin de détecter les certificats mal émis ou malveillants. ## Contrer les Attaques de la Chaîne d'Approvisionnement Binaire Cette mesure vise à contrer les risques posés par les attaques de la chaîne d'approvisionnement binaire, qui livrent souvent du code malveillant en empoisonnant les canaux de mise à jour logicielle, tout en conservant les signatures numériques intactes. Un exemple récent est le [compromis](https://thehackernews.com/2026/05/daemon-tools-supply-chain-attack.html) des installateurs Windows du logiciel **DAEMON Tools** pour distribuer une backdoor légère, qui sert ensuite de conduit à un implant baptisé QUIC RAT. Les installateurs ont été distribués depuis le site web légitime de DAEMON Tools et signés avec des certificats numériques appartenant aux développeurs de DAEMON Tools. "Il devient insuffisant de se fier uniquement à la signature du binaire, car une signature ne peut garantir que ce binaire particulier était celui que son auteur avait l'intention de publier", a déclaré Google. "Les signatures numériques sont un certificat d'origine, mais la transparence binaire est un certificat d'intention." ## Assurer l'Intégrité Logicielle En étendant la Transparence Binaire sur Android, l'entreprise vise à garantir que le logiciel Google sur l'appareil d'un utilisateur est exactement ce qui était prévu pour être construit et distribué. À cette fin, les applications Android de production de Google publiées après le 1er mai 2026 auront une entrée cryptographique correspondante confirmant leur authenticité. L'initiative comprend actuellement les [applications Google](https://play.google.com/store/apps/dev?id=5700313618786177705) de production, y compris les **Google Play Services** et les applications Google autonomes, ainsi que les [modules Mainline](https://source.android.com/docs/core/ota/modular-system) qui font partie de l'OS et peuvent être mis à jour dynamiquement en dehors du cycle de publication normal. "Cela fournit une 'Source de Vérité' transparente qui permet à quiconque de vérifier que le logiciel Google sur son appareil Android est une version de production autorisée par Google et n'a pas été modifié par un attaquant", a noté Google. "Si le logiciel n'est pas dans le registre, Google ne l'a pas publié en tant que logiciel de production. Toute tentative de déployer une version 'unique' sera détectable." Dans le cadre de cet effort, le géant de la technologie [met également à disposition des outils de vérification](https://github.com/android/android-binary-transparency) que les utilisateurs et les chercheurs peuvent utiliser pour vérifier l'état de transparence des types de logiciels pris en charge. Ce développement intervient dans un contexte de nombreuses attaques de la chaîne d'approvisionnement qui ont ciblé les développeurs et les utilisateurs en aval de logiciels populaires ces derniers mois. Les acteurs malveillants compromettent de plus en plus les comptes des développeurs et abusent de cet accès pour distribuer des malwares, leur permettant ainsi d'infiltrer plusieurs utilisateurs à la fois. ## Un Pilier Critique pour la Sécurité "C'est un pilier essentiel pour la confidentialité et la sécurité des utilisateurs car il modifie la dynamique de pouvoir fondamentale des mises à jour logicielles", a déclaré Google. "Ce niveau de transparence sert de couche de protection supplémentaire pour l'intégrité de nos logiciels, agissant comme un puissant moyen de dissuasion contre les versions binaires non autorisées."