Google vient d’ajouter une fonctionnalité baptisée Journalisation des intrusions (Intrusion Logging) à Android. L’annonce a été faite le 12 mai 2026. Intégrée au mode de protection avancée d’Android, cette technologie a été conçue pour aider à détecter les attaques sophistiquées menées par des logiciels espions.
Google a développé cet outil en collaboration avec le Security Lab d’Amnesty International et Reporters Sans Frontières (RSF). Il cible particulièrement les personnes les plus exposées à la surveillance numérique. C’est le cas des journalistes, défenseurs des droits humains, militants et personnalités publiques.
Pour Google, il s’agit d’un changement important. Jusqu’à présent, les mécanismes de sécurité des smartphones cherchaient surtout à empêcher les attaques. Désormais, Android cherche aussi à en conserver les traces afin de faciliter les enquêtes après une compromission.
Pourquoi la journalisation des intrusions est-elle importante ?
Les logiciels espions modernes comme Pegasus, Predator ou FinFisher sont capables d’infecter un téléphone discrètement. Parfois sans aucune action de la victime. Une fois installés, ces programmes peuvent accéder aux messages, photos, appels ou encore aux données de localisation. Le problème est qu’ils effacent souvent leurs traces. Ce qui complique considérablement le travail des experts en cybersécurité.
🔐 Lutte contre les logiciels espions 👉 Google active « Intrusion Logging » sur Android 16. Ce que ça change pour vous ⬇️
— Christophe Boutry (@Ced_haurus) May 13, 2026
Un journal de bord forensique, chiffré de bout en bout, stocké sur les serveurs Google pendant 12 mois, qui va permettre de conserver les traces… pic.twitter.com/dxDw9KXsyI
Jusqu’à présent, Android utilisait principalement des journaux techniques destinés au débogage. Ces données étaient rapidement écrasées et devenaient inutilisables lorsqu’une enquête était ouverte plusieurs semaines ou plusieurs mois après une attaque. La nouvelle journalisation des intrusions vise précisément à combler cette lacune.
Lorsque la fonction est activée, Android conserve des informations de sécurité importantes pendant une durée pouvant atteindre douze mois. Parmi les événements enregistrés figurent notamment :
- Les tentatives de déverrouillage du smartphone ;
- Les connexions et commandes exécutées via Android Debug Bridge (ADB) ;
- L’installation et la désinstallation d’applications ;
- Le lancement des processus d’applications ;
- Les requêtes DNS et certaines connexions réseau.
Ces données sont chiffrées de bout en bout et stockées dans le compte Google de l’utilisateur. Google indique ne pas pouvoir accéder à leur contenu.
Un atout pour les enquêtes cybercriminelles
L’un des principaux intérêts de cette fonctionnalité est sa capacité à conserver des preuves. Même lorsqu’une application malveillante a été supprimée. Par exemple, si un logiciel espion est installé puis désinstallé avant que son propriétaire ne récupère son téléphone, les événements liés à cette opération restent consignés dans les journaux.
Les experts peuvent également identifier des communications suspectes entre une application et un serveur distant. Un comportement fréquemment observé dans les campagnes d’espionnage numérique. Pour faciliter ces analyses, Amnesty International a également mis à jour ses outils open source AndroidQF et le Mobile Verification Toolkit, souvent utilisés dans les enquêtes sur les logiciels espions.
Pour l’instant, la journalisation des intrusions est réservée aux smartphones Google Pixel fonctionnant sous Android 16. Google prévoit d’étendre cette fonctionnalité à d’autres fabricants Android. Mais aucun calendrier précis n’a encore été annoncé. Autre limite importante : la protection doit être activée avant une éventuelle attaque. Elle ne permet pas de retrouver des événements qui se seraient produits avant son activation.
Cette initiative marque une nouvelle étape dans la protection des utilisateurs à haut risque. Au-delà de son aspect technique, la journalisation des intrusions montre une évolution de l’approche des grands acteurs du numérique en matière de cybersécurité.
