30 autorisations d'application à éviter sur Android

Sélectionnez-vous simplement Accepter(Accept ) tout ce qui vous est lancé lorsque vous installez une nouvelle application sur votre appareil Android(new app on your Android device) ? La plupart des gens le font. Mais à quoi êtes-vous d'accord ? 

Il y a le contrat de licence de l'utilisateur(End User Licensing Agreement) final ( EULA ), puis il y a les autorisations de l'application. Certaines de ces autorisations d'application peuvent permettre à une application, et à l'entreprise qui l'a créée, d'aller trop loin et de violer votre vie privée. Vous devez savoir quelles autorisations d'application éviter d'accepter sur votre Android .

Quelles autorisations devriez-vous éviter ? Cela dépend, et nous y reviendrons. Méfiez-vous des autorisations liées à l'accès :

  • Téléphoner
  • l'audio
  • Emplacement
  • Contacts
  • Appareil photo
  • Calendrier
  • Messagerie
  • Biométrie(Biometrics)
  • Stockage en ligne

Que sont les autorisations d'application ?(What Are App Permissions?)

Lorsque vous installez une application, l'application est rarement livrée avec tout ce dont elle a besoin pour faire son travail déjà intégré. Il y a déjà beaucoup de choses dans votre Android que l'application doit intégrer pour faire son travail.

Disons que vous téléchargez une application de retouche photo(download a photo editing app) . Le développeur de l'application n'écrirait pas une galerie de photos complète ou un logiciel d'appareil photo dans l'application elle-même. Ils vont juste demander l'accès à ces choses. Cela permet de garder les applications petites et efficaces et votre Android de se remplir de code d'application dupliqué.

Quelles autorisations d'application dois-je éviter ?(What App Permissions Should I Avoid?)

Pour les développeurs Android , les permissions sont divisées en 2 groupes : normal et dangereux.

Les autorisations normales sont considérées comme sûres et souvent autorisées par défaut sans votre autorisation expresse. Les autorisations dangereuses sont celles qui peuvent présenter un risque pour votre vie privée. 

Nous examinerons les 30 autorisations dangereuses répertoriées dans la référence du développeur Android( Android Developer’s Reference) de Google . Le nom de l'autorisation sera répertorié, avec une citation de la référence(Reference) du développeur sur ce que l'autorisation permet. Ensuite, nous expliquerons brièvement pourquoi cela pourrait être dangereux. Ce sont des autorisations d'application que vous voudrez peut(may) -être éviter, si possible

ACCEPT_HANDOVER

"Permet à une application d'appel de poursuivre un appel qui a été lancé dans une autre application."

Cette autorisation permet de transférer un appel vers une application ou un service dont vous n'êtes peut-être pas au courant. Cela pourrait finir par vous coûter cher s'il vous transfère vers un service qui utilise votre quota de données au lieu de votre forfait cellulaire. Il pourrait également être utilisé pour enregistrer secrètement des conversations.

ACCESS_BACKGROUND_LOCATION

"Permet à une application d'accéder à l'emplacement en arrière-plan. Si vous demandez cette autorisation, vous devez également demander ACCESS_COARSE_LOCATION ou ACCESS_FINE_LOCATION . Demander cette autorisation en soi ne vous donne pas accès à la localisation. »

Comme le dit Google , cette autorisation seule ne vous suivra pas. Mais ce qu'il peut faire, c'est vous permettre d'être suivi(allow you to be tracked) même si vous pensez que vous avez fermé l'application et qu'elle ne suit plus votre position.

ACCESS_COARSE_LOCATION

"Permet à une application d'accéder à un emplacement approximatif."

La précision de la localisation grossière vous localise dans une zone générale, en fonction de la tour cellulaire à laquelle l'appareil se connecte. Il est utile pour les services d'urgence de vous localiser en cas de problème, mais personne d'autre n'a vraiment besoin de ces informations.

ACCESS_FINE_LOCATION

"Permet à une application d'accéder à un emplacement précis."

Quand ils disent précis, ils le pensent. L'autorisation de localisation précise utilisera les données GPS et Wi(WiFi) -Fi pour déterminer où vous vous trouvez. La précision peut être de quelques pieds, ce qui permet éventuellement de localiser la pièce dans laquelle vous vous trouvez au sein de votre maison.

ACCESS_MEDIA_LOCATION

"Permet à une application d'accéder à tous les emplacements géographiques conservés dans la collection partagée de l'utilisateur."

À moins que vous n'ayez désactivé la géolocalisation de vos photos et vidéos(turned off geotagging on your pictures and videos) , cette application peut toutes les parcourir et créer un profil précis de l'endroit où vous vous êtes rendu en fonction des données de vos fichiers photo(build an accurate profile of where you’ve been based on data in your photo files) .

ACTIVITY_RECONNAISSANCE(ACTIVITY_RECOGNITION)

"Permet à une application de reconnaître l'activité physique."

En soi, cela peut sembler peu. Il est souvent utilisé par les trackers d'activité comme FitBit(activity trackers like FitBit) . Mais associez-les à d'autres informations de localisation et ils pourront déterminer ce que vous faites et où vous le faites.

ADD_VOICEMAIL

"Permet à une application d'ajouter des messages vocaux dans le système."

Cela pourrait être utilisé à des fins de phishing. Imaginez(Imagine) ajouter un message vocal(voicemail) de votre banque demandant de les appeler, mais le numéro fourni n'est pas celui de la banque.

RÉPONDRE AUX APPELS TÉLÉPHONIQUES(ANSWER_PHONE_CALLS)

"Permet à l'application de répondre à un appel téléphonique entrant."

Vous pouvez voir comment cela pourrait être un problème. Imaginez(Imagine) une application répondant simplement à vos appels téléphoniques et faisant ce qu'elle veut avec eux.

BODY_SENSORS

"Permet à une application d'accéder aux données des capteurs que l'utilisateur utilise pour mesurer ce qui se passe à l'intérieur de son corps, comme la fréquence cardiaque(sensors that the user uses to measure what is happening inside their body, such as heart rate) ."

C'est un autre cas où les informations en elles-mêmes ne signifient peut-être pas grand-chose, mais lorsqu'elles sont associées à des informations provenant d'autres capteurs, elles peuvent s'avérer très révélatrices. 

APPEL TÉLÉPHONIQUE(CALL_PHONE)

"Permet à une application de lancer un appel téléphonique sans passer par l' interface utilisateur du numéroteur pour que l'utilisateur confirme l'appel. "(Dialer)

C'est assez effrayant de penser qu'une application pourrait passer un appel téléphonique sans que vous le sachiez. Pensez ensuite à la façon dont il pourrait appeler un numéro 1-900 et vous pourriez être décroché pour des centaines ou des milliers de dollars.

APPAREIL PHOTO(CAMERA)

"Requis pour pouvoir accéder à l'appareil photo."

De nombreuses applications voudront utiliser l'appareil photo. Cela a du sens pour des choses comme la retouche photo ou les médias sociaux. Mais si un simple jeu pour enfants veut cette autorisation, c'est juste effrayant.

LIRE_CALENDRIER(READ_CALENDAR)

"Permet à une application de lire les données du calendrier(calendar data) de l'utilisateur ."

L'application saurait où vous serez et quand. Si vous prenez des notes avec vos rendez-vous, il saura également pourquoi vous êtes là. Ajoutez les informations de localisation et l'application saura également comment vous y êtes arrivé.

WRITE_CALENDAR

"Autorise une application à écrire les données du calendrier de l'utilisateur."

Un mauvais acteur pourrait l'utiliser pour mettre des rendez-vous dans votre calendrier en vous faisant penser que vous devrez peut-être aller quelque part où vous n'allez pas, ou appeler quelqu'un dont vous n'avez pas besoin.

READ_CALL_LOG

"Permet à une application de lire le journal des appels de l'utilisateur."

À qui nous parlons et quand peut-il être très révélateur de nos vies. Vous appelez votre collègue pendant la journée ? Normale(Normal) . Les appeler à 2 heures du matin le samedi(Saturday) soir ? Pas si normal.

WRITE_CALL_LOG

"Permet à une application d'écrire (mais pas de lire) les données du journal d'appels de l'utilisateur."

Il est peu probable que cela se produise, mais une application malveillante pourrait ajouter des journaux d'appels pour vous préparer à quelque chose. 

READ_CONTACTS

"Permet à une application de lire les données de contacts de l'utilisateur."

Semblable à la lecture du journal des appels, la liste de contacts d'une personne en(person’s contact list) dit long sur elle. De plus, la liste peut être utilisée pour hameçonner vos amis, leur faisant croire que c'est vous qui leur envoyez un message. Il peut également être utilisé pour développer une liste de diffusion marketing que l'entreprise pourrait ensuite vendre aux annonceurs.

WRITE_CONTACTS

"Permet à une application d'écrire les données de contacts de l'utilisateur."

Et si cela pouvait être utilisé pour modifier ou écraser vos contacts ? Imaginez(Imagine) s'il changeait le numéro de votre courtier hypothécaire en un autre numéro et que vous appeliez un escroc et lui donniez vos informations financières.

READ_EXTERNAL_STORAGE

"Permet à une application de lire à partir d'un stockage externe."

Tout stockage de données qui se branche sur votre appareil, comme une carte microSD(microSD card) ou même un ordinateur portable, peut être consulté si vous autorisez cette autorisation.

WRITE_EXTERNAL_STORAGE

"Permet à une application d'écrire sur un stockage externe."

Si vous accordez cette autorisation, l' autorisation READ_EXTERNAL_STORAGE est également implicitement accordée. Désormais, l'application peut faire ce qu'elle veut avec n'importe quel stockage de données connecté.

READ_PHONE_NUMBERS

Autorise(Allows) l'accès en lecture au(x) numéro(s) de téléphone de l'appareil. "

Si une application le demande et que vous l'accordez, l'application connaît désormais votre numéro de téléphone. Attendez-vous à recevoir(get some robocalls) bientôt des appels automatisés si l'application est sommaire.

READ_PHONE_STATE

« Permet(Allows) un accès en lecture seule à l'état du téléphone, y compris les informations actuelles sur le réseau cellulaire, l'état de tous les appels en cours et une liste de tous les comptes téléphoniques enregistrés sur l'appareil.

Cette autorisation peut être utilisée pour faciliter l'écoute clandestine et le suivi du réseau sur lequel vous vous trouvez.

LIRE_SMS(READ_SMS)

"Permet à une application de lire les messages SMS ."

Encore(Again) une fois , une autre façon de vous espionner et de recueillir des informations personnelles. Cette fois en lisant vos SMS.

ENVOYER UN SMS(SEND_SMS)

"Permet à une application d'envoyer des SMS(SMS messages) ."

Cela pourrait être utilisé pour vous inscrire à des services de SMS payants, comme obtenir votre horoscope quotidien. Cela pourrait vous coûter très cher, rapidement.

RECEIVE_MMS

"Permet à une application de surveiller les messages MMS entrants ."

L'application pourra voir toutes les photos ou vidéos qui vous ont été envoyées.

RECEIVE_SMS

"Autorise une application à recevoir des SMS ."

Cette application permettrait de surveiller vos messages texte.

RECEIVE_WAP_PUSH

"Autorise une application à recevoir des messages push WAP ."

Un message push WAP est un message qui est également un lien Web. La sélection du message pourrait ouvrir un site Web chargé de phishing ou de logiciels malveillants.

ENREGISTREMENT AUDIO(RECORD_AUDIO)

"Permet à une application d'enregistrer de l'audio."

Encore une autre façon d'écouter les gens. De plus, il y a une quantité surprenante que vous pouvez apprendre des sons autour d'une personne, même si elle ne parle pas.

USE_SIP

"Autorise une application à utiliser le service SIP ."

Si vous ne savez pas ce qu'est une session SIP, pensez à Skype ou Zoom(Skype or Zoom) . Ce sont des communications qui se produisent via une connexion VoIP . Ce n'est qu'un moyen de plus pour une application malveillante de vous surveiller et de vous écouter.

Dois-je éviter toutes les autorisations Android ?(Should I Avoid All Android Permissions?)

Nous devons examiner les autorisations dans le contexte de ce que nous voulons que l'application fasse pour nous. Si nous devions bloquer toutes ces autorisations pour chaque application, aucune de nos applications ne fonctionnerait.

Considérez(Think) votre appareil Android comme votre maison. Pour notre analogie, considérez l'application comme un réparateur entrant dans votre maison. Ils ont un travail spécifique à faire et auront besoin d'accéder à certaines parties de votre maison, mais pas à d'autres.

Si vous avez un plombier qui vient réparer l'évier de la cuisine, il aura besoin de votre permission pour accéder à l'évier et aux tuyaux qui alimentent et évacuent l'eau. C'est ça. Donc, si le plombier demandait à voir votre chambre, vous deviendriez suspect de ce qu'il fait. Il en va de même pour les applications. Gardez cela à l'esprit lorsque vous acceptez les autorisations de l'application.



About the author

Je travaille comme consultant pour Microsoft. Je me spécialise dans le développement d'applications mobiles pour les appareils Apple et Android, et je suis également impliqué dans le développement d'applications Windows 7. Mon expérience avec les smartphones et Windows 7 fait de moi un candidat idéal pour ce poste.



Related posts