Si vous déployez des smartphones à vos utilisateurs, vous utilisez très certainement Android !  La version 11 du système de Google a été publiée le 8 Septembre 2020.

Il y a évidemment eu un grand battage médiatique autour des nouvelles fonctionnalités grand public de cette mise à jour. Néanmoins, il existe plusieurs modifications sur des fonctionnalités utilisées par les entreprises et pilotables au travers d’un MDM.

Le Scoped Storage

Le Scoped Storage est apparu pour la première fois avec Android 10.

Il s’agit d’un nouvel ensemble de règles qui permet de paramétrer le degré d’accès d’une application au stockage du téléphone mobile.

Dans la version 10, il y avait eu un tollé concernant les nouvelles API et la façon dont elles pouvaient potentiellement rendre inopérantes les applications installées sur le téléphone. 

Avec Android 11, ce système de stockage a été amélioré : un bac à sable isolé est créé pour chaque application. Concrètement, les applications n'ont plus besoin d’autorisation pour écrire leurs propres fichiers. L'application ne peut accéder qu'à son propre bac à sable (à la manière d’iOS) ; tous les autres bacs à sable sont alors hors limites. Les dossiers par défaut d’Android tels que Photo, Vidéos et Téléchargements restent des espaces partagés. Le stockage limité vise à mettre fin à l'accès libre aux fichiers sur les appareils Android.

Vous pouvez ainsi appliquer des contrôles et des règles d'accès précis aux applications. Cette nouveauté améliore également la sécurité des applications car elle vous permet de déterminer quelles parties du système de fichiers de l'entreprise sont accessibles par des applications externes.

Plus de confidentialité pour les profils privés

Depuis Android 10, Google met l'accent sur la sécurité et la confidentialité des utilisateurs finaux. Android 11 poursuit sur cette lancée.

Les appareils d'entreprise, qui sont jusqu’à présent entièrement gérés avec des profils professionnels par Android Enterprise peuvent désormais également proposer un profil personnel aux utilisateurs finaux.

Avec Android 10, l’entreprise avait un contrôle total sur ces appareils car ils hébergeaient les données de l’entreprise. Cela signifiait également que le MDM et le gestionnaire de flotte contrôlaient le profil personnel de l'appareil. Cela pouvait être problématique lorsqu’un usage personnel d’un téléphone professionnel était autorisé.

Sur Android 11, Google apporte cette confidentialité aux utilisateurs.

Une fois la mise à jour Android 11 faite, l’appareil entièrement géré avec le profil de travail de l'entreprise sera alors migré vers un mode de profil de travail amélioré axé sur la confidentialité. Le MDM n’aura alors plus accès aux données d’utilisation du smartphone.

Par exemple, vous pouvez mettre sur liste noire les applications de streaming vidéo (Netflix, Youtube…) qui consomment la DATA des forfaits, mais vous ne pouvez pas voir toutes les applications autorisées que l'utilisateur a installées sur son appareil.

En un mot, les administrateurs peuvent s'attendre à moins de visibilité sur ces appareils et peuvent essentiellement les voir comme un appareil avec un profil de travail amélioré. 

Les données considérées comme personnelles par Google ne sont plus disponibles au travers des MDM et certaines restrictions ont également été supprimées.

Sécurisation des autorisations

Parmi les nombreuses fonctionnalités de sécurité et de confidentialité d'Android 11, il y en a quelques-unes qui traitent des permissions pour les applications.  

• Les utilisateurs finaux ont désormais la possibilité d’autoriser temporairement une application à utiliser l’une des fonctions (par exemple, le GPS) pour «Une seule fois». 
• Si une application demande l'autorisation deux fois et que l'utilisateur l'a refusée à chaque fois, l'application ne pourra plus demander l’autorisation à nouveau. 
• Les utilisateurs ne peuvent pas accorder aveuglément des autorisations de superposition aux applications qui en font la demande. L'utilisateur n’est pas directement dirigé vers la bascule de superposition, il est dirigé vers l'étape juste avant. Ceci afin d'éviter les attaques par superposition. 
• Si une application reste inutilisée pendant un certain temps, les permissions accordées par les utilisateurs sont automatiquement révoquées. 
• Le suivi de géolocalisation en arrière-plan est en voie de disparition. Les applications ne peuvent plus collecter de données de localisation lorsqu'elles ne sont pas en cours d’exécution. Elles ne peuvent collecter des données de localisation que lorsque l'utilisateur a connaissance de leur collecte. 

Vous devez donc examiner et éventuellement revoir votre politique de permissions. 

Android 11 se déploie progressivement. Seuls certains smartphones sont pour l’instant compatibles avec cette mise à jour.