Le problème c’est que nous avons peu d’informations sur les prérequis de l’application.
Le site web dit: Android 11.0 + NFC
La page de l’ANSSI apporte un peu plus de précision et évoque des composants matériels:
TEE =Trusted Execution Environment
J’ai beau lire Système Android Keystore | App quality | Android Developers je ne saisis toujours pas si au final si l’application exige une puce matérielle dédiée comme la secure enclave d’Apple (si un developpeur sous Android pouvait m’éclairer…)
L’ANSSI nous indique que l’application fonctionne au moins sous des Pixel :
- Pixel 6a sous Android 13 ;
- Pixel 4a sous Android 10 (« rooté »)
Je comprends que l’État cherche à ce que le processus d’identification forte ne soit pas altéré. Dans cet optique, l’État veut que l’application tourne dans un milieu sûr et je suppose qu’il veut un processus de démarrage verrouillé, un téléphone non rooté, une application télécharger via le store officiel d’Android (et signé comme tel). Mais sans documentation officielle dessus, cela reste des hypothèses.
Comme pourrait l’être l’hypothèse d’une obligation d’avoir un compte Google pour que France Identité fonctionne.