Permissions d’applications : pourquoi faut-il les vérifier avant d’installer

À chaque installation d'une nouvelle application Android, vous donnez de nombreuses autorisations aux applications, sans forcément y faire attention. Nous allons faire le point sur l'importance de ces permissions et pourquoi il faut les vérifier.

On reproche souvent à Android d'être la cible de nombreuses applications malveillantes. C'est souvent le cas des OS qui sont extrêmement populaires comme Android ou encore Windows. Certaines applications prétextent de vous proposer de nouvelles sonneries pour votre téléphone, mais en profitent en fait pour vous faire appeler des numéros surfacturés par exemple.

Android permission

On pense souvent que ces problèmes sont liés à des failles de sécurité d'Android, mais c'est en fait vous, l'utilisateur, qui donnez les autorisations à ces applications malveillantes lorsque vous les installez. D'où l'importance de bien faire attention aux permissions.

Qu'est-ce qu’une permission d'application ?

Il s'agit des différentes autorisations que vous demande une application Android avant d'être installée. Une fenêtre s'affiche alors lorsque vous cliquez sur le bouton d'installation. Vous avez surement tendance à les accepter sans regarder les autorisations que vous laissez à l'application en question, qui abuse parfois et demande des accès qui sont loin d'être indispensable à leur bon fonctionnement.

À quoi servent-elles ?

Android fait ça pour votre sécurité. Ce système de permission est conçu pour cloisonner les différents droits d'accès aux données pour chaque utilisateur. Pour cela, un UserID est créé sur le téléphone à chaque installation d'une nouvelle application, comme sur Linux dont Android empreinte le noyau.

Tous les processus et les accès nécessaires à l'application utiliseront ce userID afin que celle-ci ait un accès exclusif à ses propres fichiers et qu'aucune autre application ne puisse venir fouiller dedans… À moins que vous lui en donniez la permission, c'est justement le sujet important dont nous parlons aujourd'hui.

Gérer les permissions : la théorie et la pratique

Android est donc un OS sécurisé qui cloisonne les données utilisateurs pour chaque application, c'est ensuite à vous d'assouplir certaines contraintes en donnant ou non des permissions. Mais avez-vous vraiment le choix ?

root android

Si vous faites le choix de ne pas autoriser les permissions, l'application refusera alors de s'installer. L'une des rares manières de gérer les permissions au cas par cas et de rooter son téléphone ou sa tablette Android afin d'avoir un contrôle total et gérer au cas par cas chacune d'entre elles.

Nous verrons plus loin les applications disponibles pour le faire. Une pratique réservée aux utilisateurs avancés dans la mesure où en bloquer quelques-unes pourrait nuire à certaines fonctionnalités de l'application.

Il existe au total plus de 150 permissions sur Android, dont vous pouvez retrouver la liste ici. Un chiffre qui peut changer au fil des mises à jour et qui est donc un gage de sécurité pour l'OS mobile de Google. Certaines applications sont particulièrement gourmandes à ce niveau. Twitter par exemple demande une vingtaine d'autorisations et Facebook presque quarante.

Les applications demandent-elles trop d'autorisations ?

Beaucoup d'entre elles demandent en effet pas mal d'autorisations et il s'agit souvent des applications les plus utilisées comme les réseaux sociaux. Cela ne veut pas pour autant dire que vous prenez de gros risques en les acceptants. Une petite application inconnue ou un fichier APK douteux installés sur votre téléphone demandera peut-être les mêmes autorisations que Facebook, mais se montrera beaucoup plus dangereux.

 

Les différents groupes de permissions

Chaque autorisation individuelle appartient à un groupe d'autorisation. Chaque autorisation demande l'accès à des informations et/ou des fonctionnalités. Il est important de bien les regarder avant d'installer une application, car cette dernière ne vous le demandera jamais deux fois, sauf s'il y a des changements dans les permissions suite à une mise à jour.

Achats via une application : cette dernière pourra alors vous demander de faire des achats au sein même de l'application. C'est souvent le cas dans les jeux gratuits avec ce fameux système d'achat interne pour acheter des améliorations d'armes par exemple ou encore acheter de la monnaie virtuelle avec de l'argent bien réel.

Attention : les achats faits au sein d'une application ne peuvent pas être remboursés dans les 15 minutes comme c'est lorsque vous achetez une application sur le Google Play. Pour les achats internes, il faudra vous en remettre aux développeurs de l'application qui sont alors seuls à décider.

– Appareil photo/Micro. Une fois autorisé, l'application sera alors en mesure de :

  • Prendre des photos et faire des vidéos
  • Enregistrer une vidéo ou un fichier audio

C'est typiquement ce que peuvent vous demander des applications comme Instagram ou encore Snapchat, pour ne citer que les plus populaires.

– Autres appareils. Voilà un groupe qui n'est pas à négliger dans la mesure ou les applications peuvent être amenées à exploiter des autorisations spécifiques qui figurent dans ce groupe « Autres », comme :

  • Consulter et écrire sur les flux de vos réseaux sociaux
  • Accéder aux flux auxquels vous êtes abonnés

Ce groupe n'est donc pas à négliger et portez-y attention, particulièrement pour les applications les plus « douteuses ».

 – Contacts/Agenda. Permets d'exploiter les informations provenant de votre agenda et de vos contacts. Pour se faire, les actions suivantes sont alors possibles :

  • Consulter et modifier vos contacts
  • Consulter l'agenda et les données confidentielles
  • Ajouter ou modifier des évènements dans l'agenda et envoyés des emails aux invités à votre insu.

– Historique de l'appareil et de l'application. Si vous l'acceptez, une application pourra alors exploiter certaines informations comme :

  • L'historique et les favoris internet
  • Les applications en cours d'exécution
  • Les données des journaux à caractère confidentiel
  • L’État interne du système

– Identifiant de l'appareil et des informations sur les appels

Si vous la validez, cette permission donne le droit à l'application de voir l'état et l'identité de votre téléphone. Concrètement, elle peut accéder à votre numéro de téléphone, à l'identifiant de votre mobile et voir si vous êtes en train de passer un appel afin d'obtenir le numéro appelé. Encore une permission à ne pas prendre à la légère.

– Identité. Votre compte et/ou profil peut être exploité grâce à cette autorisation. Cela comprend :

  • La recherche, l'ajout et la suppression des différents comptes sur l'appareil
  • La lecture et la modification de votre fiche contact
  • Informations de connexion WiFi. Les connexions WiFi pourront alors être affichées par l'application afin de connaître celles qui sont actives et afficher le nom des appareils qui y sont connectés.

– Localisation

Il s'agit de l'un des plus connus, mais est parfois utilisé de manière abusive par certaines applications. Vérifiez bien que l'accès à votre GPS et votre position géographique sont justifiés dans le cadre de l'utilisation de l'application qui sera alors en mesure de :

  • Un accès au GPS et à votre position précise ou approximative ( y compris via le réseau)
  • Un autre accès aux commandes de localisation supplémentaires offertes par le fournisseur

– Paramètres de données cellulaires. Derrière cette dénomination se cache en fait un accès très simple, celui aux paramètres de contrôle de votre connexion internet mobile et donc potentiellement aux données que vous recevez par ce réseau.

– Photos/Médias/Fichiers. Les données que vous stockez sur votre appareil peuvent également être exploitées. Voilà ce qu'il est possible de faire une fois la permission validée :

  • Lire, modifier ou supprimer le contenu de la mémoire de stockage, que ce soit la mémoire de stockage ou une carte SD.
  • Installer, désinstaller et formater la mémoire de stockage

– SMS et MMS

Si la plupart des forfaits proposent maintenant le SMS et MMS en illimité, il faut tout de même faire attention (en fonction de votre forfait) à ceux envoyés à votre insu qui peuvent entrainer des frais supplémentaires. L'application sera ici en mesure de recevoir, lire, modifier et envoyer des messages SMS, MMS et WAP.

– Téléphone : tous comme les messages textes et vidéos, certains appels peuvent entrainer des surfacturations.

  • Appeler directement des numéros de téléphone et passer des appels sans votre intervention
  • Lire et écrire dans le journal d'appels (historique)
  • Réacheminer les appels sortants
  • Modifier l'état du téléphone

Les bons gestes à avoir avant d'installer une application

Plusieurs précautions sont à prendre avant d'installer n'importe quelle application sur votre terminal Android. Si certaines semblent évidentes, tout le monde ne fait pas attention et cela peut parfois mal se terminer.

Regarder les notes et les commentaires

La première est de regarder la note de l'application sur le Google Play ainsi que les commentaires des utilisateurs. Si certains se plaignent du non-fonctionnement de l’application ou de ne pas retrouver ce qui est vendu au départ, c'est peut-être le signe d'une application frauduleuse.

Des notes catastrophiques pour une application sont également des indicateurs, bien que les mauvaises applications ne sont pas toujours dangereuses. Une fois ce premier tri effectué,vous pouvez passer à l'étape suivante.

Vérifiez les permissions demandées

Avant d'installer

Si vous voulez connaître ces permissions avant l'installation, il faut savoir qu'un lien est disponible un peu plus bas sur l'application dans la rubrique « informations supplémentaires » puis « Afficher les détails ».

Une fois que vous cliquez dessus vous accédez à l'écran ci-dessous qui vous affiche les permissions demandées par l'application en question. On retrouve différents groupes comme « Identité » pour se connecter à vos différents comptes utilisateurs ou encore « Photos/Contenus multimédias/Fichiers » qui donnera le droit à l'application d'ajouter ou supprimer des contenus sur votre téléphone ou tablette Android, pourvu que vous lui en donniez l'autorisation.

Une petite note en bas cet écran précise d'ailleurs que les futures mises à jour de l'application peuvent automatiquement ajouter des fonctionnalités au sein de chaque groupe, sans avoir à vous demander une nouvelle fois, d'où l'importance de bien en prendre connaissance. Si un nouveau groupe est créé, il faudra en revanche donner de nouveau son accord.

Si elles sont déjà installées

Si vous avez déjà installé l'application et que vous voulez voir ses permissions, rendez-vous dans « Paramètres>Applications>Autorisations ».

Demandez-vous si les autorisations demandées correspondent vraiment aux fonctionnalités de l'application. Pourquoi une application de retouche photo a-t-elle besoin de lire vos SMS ou appeler directement certains numéros par exemple ?

Si vous voulez des réponses à ses questions, vous pouvez vous rendre sur les sites web des développeurs de l'application pour avoir la réponse. Si elle ne figure pas sur le site, vous pouvez utiliser le formulaire de contact pour leur poser directement la question.

Les permissions sensibles à surveiller

permissions dangereuses

Si vous devez porter attention à toutes les autorisations, certaines sont plus sensibles que d'autres. On pense notamment à celles dans la rubrique « Identité » qui peuvent par exemple accéder aux différents comptes présents sur l'appareil, mais également en ajouter ou en supprimer. C'est le genre d'autorisations auxquelles accèdent les applications les plus populaires comme Facebook, mais d'autres apps plus obscurs peuvent également l'utiliser d'une très mauvaise manière.

Les autorisations de la rubrique « Téléphone » sont également à surveiller de près. Certaines permettent purement et simplement de réacheminer les appels sortants ou encore passer des appels sans votre intervention. De quoi passer des appels sur des lignes surtaxés à votre insu.

Enfin, les permissions liées SMS sont tout aussi sensibles avec la lecture, la réception, la modification et l'envoi de ses derniers que vous pouvez accepter sans vous en rendre compte. Là encore, toutes les permission sont à surveiller dans la mesure du possible. Si plus gros éditeurs d'applications ne ferons pas d'utilisation frauduleuse de ces autorisations, mais attention aux applications moins connues.

Les applications pour vérifier les permissions

Si vous voulez vérifier de manière claire les permissions d'applications sur Android, vous allez devoir passer par des applications. Le seul moyen qui existe actuellement et de vous rendre dans les paramètres et de vérifier les autorisations d'applications une par une, ce qui n'est pas des plus pratique.

Plusieurs applications existent pour vous donner un aperçu global des autorisations que demandent les applications installées sur votre appareil Android. L'une d'entre elles s'appelle Clueful.

images clueful

Son interface est bien pensée, car elle affiche à la fois un « Privacy Score » Global de vos applications, mais aussi la possibilité d'afficher via un code couleur le niveau de risque pour votre vie privée. Vous pouvez également en un clin d'oeil trier par type d'autorisation.

Google Play Store

Permission Friendly Apps propose le même type de service avec la possibilité de supprimer directement les applications qu'il juge comme non respectueuses de votre vie privée.

permission freindly

 

 

On notera le bon goût de cette application de ne demander aucune autorisation particulière lors de son installation.

Google Play Store

Enfin, AppOps est une application un peu particulière, car elle permet d'accéder à un menu caché d'Android. Elle vous permet d'avoir une vue d'ensemble des permissions, mais également de les désactiver sans avoir besoin de rooter son appareil.

appops

Son champ d'action reste tout de même assez limité. Attention : l'application en fonctionne plus avec Android 4.4.2 KitKat, mais seulement les versions antérieures.

Play Store

Conclusion

Nous avons vu que les permissions d'applications ne sont pas à négliger et qu'elles peuvent parfois être abusives. Heureusement, la grande majorité d'entre elles sont justifiées et uniquement là pour exploiter le potentiel de votre téléphone. Il ne s'agit donc pas de tomber dans la paranoïa, mais un utilisateur averti tombera moins facilement dans de mauvais pièges. Soyez donc attentif à l'avenir et que cela ne vous empêche pas de découvrir la richesse des applications du Google Play !


Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers  !