Les autorisations à éviter pour les applications de ton smartphone

Dans le monde numérique d’aujourd’hui, accorder des autorisations aux applications mobiles est devenu presque automatique pour de nombreux utilisateurs. Peu prennent le temps de réfléchir aux implications de telles acceptations. Octroyer certaines permissions sans précaution peut mettre en péril des informations personnelles et la sécurité des dispositifs. Que ce soit sur Android ou iOS, développés par Apple, des mécanismes ont été intégrés pour protéger les utilisateurs, mais la décision finale revient toujours à l’utilisateur.

Lorsque qu’une application demande l’accès à des données ou des fonctionnalités, le système d’exploitation joue le rôle d’intermédiaire. Android et iOS ont évolué à cet égard. Auparavant, les applications demandaient des permissions avant installation.

Aujourd’hui, la plupart des autorisations sont demandées au moment où l’application en a besoin. Sur Android, à partir de la version 6.0, les permissions se divisent en deux catégories : celles dites normales, comme l’accès à Internet, qui sont accordées automatiquement, et les permissions dangereuses, comme la localisation, le microphone ou les contacts, qui nécessitent l’approbation explicite de l’utilisateur.

Les versions récentes des deux systèmes ont ajouté de nouvelles autorisations, comme la localisation en arrière-plan ou la gestion des notifications, et peuvent exiger plusieurs étapes de consentement. Pour les développeurs, cela permet de créer des applications plus fonctionnelles en évitant de déranger l’utilisateur, mais cela ouvre la voie à des demandes excessives ou non nécessaires.

Toutes les applications ne demandent pas accès aux mêmes ressources, mais certains schémas doivent alerter les utilisateurs. Par exemple, une application de jeu demandant vos contacts ou une calculatrice souhaitant accéder au microphone et à la caméra soulèvent des questions légitimes. Accepter ces permissions sans hésitation peut exposer des données sensibles : messages, historiques d’appels, localisation, fichiers et mots de passe.

Un accès excessif permet également à des applications malveillantes de voler des mots de passe, d’intercepter des codes SMS, d’inscrire l’utilisateur à des services payants non autorisés ou de vendre des profils détaillés à des annonceurs. De plus, la sécurité physique peut être compromise si le suivi constant de la localisation ou l’activation à distance du microphone et de la caméra est autorisé.

La montée des applications d’intelligence artificielle a accentué ces risques. Beaucoup demandent un accès permanent au microphone pour détecter des mots clés, ainsi qu’aux contacts, calendrier ou même au contenu affiché à l’écran. Ces permissions peuvent être utilisées à des fins autres que celles imaginées par l’utilisateur.

Dans le cadre des applications de santé et d’activité physique, les risques sont souvent sous-estimés. Toutefois, les données corporelles peuvent être partagées ou revendues, affectant tout, des choix d’assurance aux marchés de courtage de données.

Le contexte de chaque application est essentiel, mais certains permissions sont considérées comme particulièrement sensibles, selon la société de cybersécurité ESET :

• Services d’accessibilité: Ils permettent à une application de lire ce qui est tapé, de voir des messages et de s’accorder des permissions supplémentaires. Sur Android, seules les applications de la boutique officielle peuvent le demander et il est obligatoire de confirmer cette permission périodiquement.
• Localisation en arrière-plan: Elle permet de suivre les mouvements de l’utilisateur et de créer des profils détaillés de sa vie quotidienne. Les deux systèmes d’exploitation exigent une reconfirmation régulière pour maintenir ce permis actif.
• SMS et historiques d’appels: Peu d’applications ont réellement besoin d’accéder à ces données. Avec cette autorisation, un attaquant peut intercepter des codes d’authentification ou accéder à des informations privées.
• Permission de superposition (overlay): Elle autorise une application à afficher des fenêtres sur d’autres, facilitant ainsi des attaques de clickjacking. Sur Android, cet accès doit être activé manuellement dans les paramètres, tandis qu’iOS ne propose pas de permission équivalente.

Avant d’accorder un accès, il convient de se poser la question de la nécessité de cette autorisation pour le fonctionnement de l’application. Les options “permission une fois” ou “permission seulement pendant l’utilisation” offrent un contrôle supplémentaire, notamment pour des permissions sensibles comme localisation, microphone ou caméra.

ESET recommande d’examiner régulièrement les autorisations accordées. Sur iOS, l’utilisateur peut accéder à la Configuration, aller dans Confidentialité et Sécurité, et activer le Rapport de confidentialité des applications pour voir quelles données ont été consultées et quand. Il est également possible d’examiner chaque application individuellement et de désactiver les permissions non essentielles.

Sur Android, accédez à Ajustements, ouvrez la section Sécurité et Confidentialité et consultez le Panneau de confidentialité. Une fonction pertinente permet de voir quelles applications ont utilisé des capteurs au cours des sept derniers jours ; si une application a accédé au microphone ou à la localisation à des moments inhabituels, il est possible de révoquer immédiatement l’autorisation. De plus, si une application n’est pas utilisée pendant plusieurs mois, Android peut automatiquement retirer des permissions et désactiver les notifications associées.

Pour réduire les risques, il est préférable de télécharger des applications uniquement depuis des boutiques officielles comme Google Play ou App Store, de vérifier les évaluations des autres utilisateurs et de considérer l’installation de solutions de sécurité mobile proposées par des fournisseurs fiables.

Accorder des permissions sans réflexion peut nuire à la vie privée et à la sécurité, tant sur le plan numérique que physique. Chaque autorisation doit être scrutée en fonction de son utilité réelle et du niveau d’exposition qu’elle implique.