En réponse à l'intensification des attaques de logiciels espions au niveau de l'État ces dernières années, Google développe une nouvelle fonctionnalité optionnelle pour le système Android : la journalisation des intrusions. Cette fonctionnalité n'est pas destinée aux utilisateurs ordinaires, mais aide les chercheurs en sécurité réseau à vérifier si l'appareil a été infecté par un logiciel espion grâce à une inspection approfondie des journaux système.
La journalisation des intrusions est placée en mode de protection avancée Android. Le mode de protection avancé Android est une fonctionnalité facultative lancée par Google pour les utilisateurs d'Android. Une fois que les utilisateurs auront activé cette fonctionnalité, certaines options du système seront désactivées pour améliorer la sécurité. Par exemple, après avoir activé le mode de protection avancé, il sera beaucoup plus difficile d'infecter via les vulnérabilités du noyau du navigateur.
Le mode de protection avancé peut également gérer les appareils médico-légaux qui tentent d'extraire des informations clés du système. Lors d'une précédente attaque de logiciels espions à l'échelle nationale en Serbie, les autorités serbes ont utilisé des outils médico-légaux développés par Cellebrite pour déverrouiller des appareils Android, puis ont installé des logiciels espions et ont continué à surveiller la cible.
La journalisation des intrusions peut fournir aux chercheurs des journaux complets :
La fonction de journalisation des intrusions est essentiellement un nouveau type de journal développé par Google pour le système Android. Ce nouveau type de journal est plus complet et détaillé que le journal habituel du système Android. Il est utilisé pour enregistrer divers événements logiciels et collecter des preuves, aidant ainsi les utilisateurs et les chercheurs en sécurité réseau à comprendre les tenants et les aboutissants des attaques suspectées de logiciels espions.
Dans le passé, les analyses médico-légales reposaient principalement sur des journaux qui n'étaient pas conçus pour détecter les intrusions. De tels journaux ne sont pas très utiles aux chercheurs en sécurité des réseaux, car ils sont conservés pendant une courte période et sont souvent écrasés. La latence des logiciels espions peut être très longue et si les journaux sont écrasés, les chercheurs ne peuvent pas retracer la source de l'attaque.
Désormais, avec la fonction de journalisation des intrusions, lorsque cette fonction est activée, le système créera et collectera des journaux chaque jour. Les journaux collectés seront cryptés à l'aide d'algorithmes de haute résistance et téléchargés sur le compte Google de l'utilisateur. Par conséquent, même si les journaux sont effacés localement, les chercheurs peuvent toujours continuer à rechercher des journaux via le cloud.
Il convient de mentionner ici que la fonctionnalité de journalisation des intrusions a effectivement été développée en 2025, mais que Google ne la déploie que progressivement. Google a déclaré sur son blog que cette fonctionnalité est en cours de déploiement sur les appareils exécutant la mise à jour Android 16 décembre 2025 ou une version ultérieure.
Quels événements de suivi la journalisation des intrusions fournit-elle :
Quand l’appareil Android a-t-il été déverrouillé ?
Lorsqu'une application est installée, lancée ou désinstallée
À quels sites Web ou serveurs l’appareil Android est-il connecté ?
Quelqu'un utilise-t-il l'appareil cible pour se connecter à ADB (les outils médico-légaux devront se connecter via ADB et lire les données)
Quelqu'un a-t-il essayé de supprimer les journaux pour la trace ci-dessus (cela suggérerait que quelqu'un essayait de cacher les preuves de l'attaque)