12Sep
La version d'Android 4.4 KitKat apporté un large éventail d'améliorations inclus sécurité renforcée. Bien que la sécurité puisse être plus stricte, les messages peuvent toujours être un peu énigmatiques. Que signifie exactement l'avertissement persistant "Network May Be Monitored", si vous êtes concerné, et que pouvez-vous faire pour vous en débarrasser?
Cher How-To Geek,
J'ai récemment acheté un nouveau téléphone Android, et il y a eu ce nouveau message d'avertissement qui me fait un peu peur. Il n'a jamais surgi sur mon ancien téléphone Android et maintenant il apparaît tous les quelques jours ou chaque fois que je redémarre le téléphone. Le message qui clignote dans la barre d'état, puis apparaît dans le menu de notification est "Network May Be Monitored", puis si je clique sur le raccourci d'avertissement dans le menu de notification, il me conduit à un menu système intitulé "Informations de confiance,"Avec deux onglets. L'un est étiqueté "système" et l'autre est étiqueté "utilisateur". Il y a des tonnes d'éléments listés dans l'onglet "système" et un seul dans l'onglet "utilisateur".Ce qui est bizarre, c'est que l'un des éléments listés dans l'onglet utilisateur ressemble à un nom de routeur "netgear".
Je n'ai aucune idée de ce que c'est ou pourquoi Android me dit que mon réseau peut être surveillé.Devrais-je être aussi flippé par ce message que je suis, et que puis-je faire pour le faire disparaître? J'ai joint quelques captures d'écran au cas où j'ai fait un mauvais travail décrivant le problème.
Cordialement,
Android
Paranoid Ce genre de situation est exactement pourquoi nous n'étions pas particulièrement friands de la mise en œuvre de la gestion des informations d'identification dans Android 4.4.Le cœur de Google était au bon endroit, mais la façon dont la mise à jour l'a traité( et averti l'utilisateur) est au mieux inélégante et dérangeante( pour l'utilisateur final non initié) au pire. Jetons un coup d'oeil à ce que le message d'avertissement est même et ce que vous pouvez faire à ce sujet.
La source de l'avertissement
Tout d'abord, expliquons pourquoi vous obtenez ce message d'erreur puisque Android donne à côté de zéro des commentaires utiles à cet égard. Votre téléphone gère une liste de certificats de sécurité approuvés et fournis par l'utilisateur. Cette longue liste d'entrées sous "système" que vous avez trouvé dans le menu "Informations d'identification fiables" est essentiellement une grande liste blanche d'émetteurs de certificats de sécurité approuvés que Google a pré-ensemencés avec votre téléphone Android. Essentiellement, votre téléphone dit: «Oh, d'accord, ces personnes sont dignes de confiance, donc nous pouvons faire confiance aux certificats de sécurité qu'elles émettent.»
Lorsqu'un certificat de sécurité est ajouté à votre téléphone, soit manuellement par vous, soit par un autre utilisateur, soit automatiquementservice ou site que vous utilisez) et c'est pas émis par un de ces émetteurs pré-approuvés, alors la fonctionnalité de sécurité d'Android entre en action avec l'avertissement "Les réseaux peuvent être surveillés." Techniquement, c'est un avertissement précis: si unUn certificat de sécurité malveillant / compromis est installé sur votre appareil. Il est possible que le trafic de votre appareil puisse être surveillé dans certaines circonstances. Il est également possible pour une entreprise ou un fournisseur de points d'accès d'utiliser des certificats auto-émis sur son propre matériel à cette fin( bien que, typiquement, leurs motifs soient plus bénins).
Malheureusement, l'avertissement émis est inutilement effrayant et il n'est pas clair: si vous ne savez pas ce que l'accord avec les informations d'identification de confiance et les certificats de sécurité est alors l'avertissement pourrait aussi bien être en binaire.
Un certificat ne doit même pas être véritablement malveillant pour déclencher les avertissements, cependant, il doit juste être émis / signé par une autorité qui n'est pas listée dans la liste "système" de confiance. Cela signifie que si vous avez signé votre propre certificat pour une utilisation( comme la configuration d'une connexion sécurisée à votre serveur domestique), Android s'en plaindra. Cela signifie également que si votre entreprise signe elle-même ses certificats pour un usage interne et ne paie pas pour un certificat officiellement signé, vous recevrez également un avertissement.
Enfin, nous sommes sûrs que c'est exactement ce qui s'est passé dans votre cas, si vous vous connectez à un réseau Wi-Fi sécurisé qui utilise un certificat de sécurité d'un émetteur qui ne figure pas sur la liste de confiance de votre téléphone. Je vais avoir l'erreur. Techniquement, comme nous l'avons mentionné ci-dessus, la société pourrait utiliser le certificat auto-signé à des fins malveillantes, mais pratiquement la plupart du temps vous rencontrerez ce problème, car 1) la société ne veut pas payer les frais pour un publiccertificat qu'ils utilisent à des fins privées et 2) ils veulent un contrôle total sur le processus de création et de signature des certificats.
Si vous voulez en savoir plus sur le côté technique de l'avertissement( ainsi que sur la façon dont le nouveau système de gestion des certificats a créé plus de quelques personnes), vous pouvez consulter ces sujets de rapport de bogues Android [1, 2].deux articles de blog sur GeekTaco [1, 2] discutant de la question en profondeur.
Devriez-vous être inquiet?
L'avertissement est formulé très sérieusement, et nous vous reprochons à peine d'être un peu flippé.Mais devriez-vous être inquiet? Dans la grande majorité des cas, les utilisateurs qui voient cette erreur ne le voient pas parce que quelqu'un a installé un certificat malveillant sur leur machine, et ils sont maintenant en danger. La raison la plus courante est celle que nous avons décrite ci-dessus: les entreprises qui utilisent des certificats auto-signés qui ne figurent pas dans le répertoire des certificats de confiance du système car ils n'ont jamais été émis par un émetteur autorisé.
Étant donné la probabilité que quelqu'un utilise un certificat malveillant contre vous étant faible et la probabilité que le certificat soit un certificat non malveillant qui n'a pas été créé par une autorité de certification vérifiée publiquement, vous n'avez pas besoin de paniquer.
Cela dit, il n'y a aucune raison de garder des certificats inconnus et aucune raison de subir des avertissements qui ne s'appliquent pas à votre situation. Regardons ce que vous pouvez faire dans les deux scénarios.
Que pouvez-vous faire?
La grande majorité des certificats provenant de sources légitimes doivent être correctement signés et vérifiés. Dans les rares cas où vous avez un certificat non signé par un certificat valide( par exemple, vous l'avez créé vous-même ou votre entreprise l'utilise pour des réseaux internes) vous étiez au courant de l'origine du certificat parce que vous l'aviez faitavec les informaticiens devraient éclaircir les choses.
Donc, sauf si vous utilisez Android dans un environnement d'entreprise( où vous devriez vérifier avec vos informaticiens pour voir ce que l'accord est avec le certificat parce qu'il pourrait être un qu'ils ont créé) ou vous avez créé le certificat vous-même, la solution la plus simple estappuyer et maintenir sur les certificats inconnus trouvés dans la catégorie "utilisateur" de la catégorie "certificats de confiance" et les supprimer( le bouton de suppression se trouve en bas du panneau d'information).Les extrémités libres moins identifiées( en particulier dans votre liste de certificats) seront les meilleures.
Si vous avez un certificat légitime qui affiche l'erreur parce qu'il figure dans la liste "utilisateur" au lieu de la liste "système", vous pouvez( à votre propre discrétion et risque) déplacer manuellement le certificat de la liste / répertoire utilisateur versla liste / répertoire du système. Ce n'est pas une tâche à entreprendre à la légère, donc si vous n'êtes pas sûr que le certificat de la liste "utilisateur" est sûr, soit 1) vous l'avez créé, soit 2) le personnel informatique de votre entreprise vérifie que c'est un de leurs certificats, tu ne devrais pas essayer de bouger.
Si vous êtes confiant dans la sécurité et l'origine du certificat, Sam Hobbs a un guide d'instructions clairement écrit pour déplacer manuellement vos certificats et un autre programmeur et passionné Felix Ableitner a une application open-source qui effectue la même tâche sansle travail en ligne de commande. Encore une fois, à moins que vous ayez un besoin pressant( et bien compris) du certificat, nous vous recommandons de ne pas le faire.
Vous avez une question technique urgente? Envoyez-nous un courriel à [email protected] et nous ferons de notre mieux pour y répondre.