Tout savoir sur les autorisations pour les applications Android

Mise à jour le 10 octobre 2018. Google a ajouté un nouveau groupe appelé “Spécial App Access” aux paramètres de permission de l’application sous Android Oreo. Vous trouverez ici des conseils utiles sur “Les autorisations d’application sur Android 8 et le guide complet”. Lorsqu’il s’agit de logiciels malveillants, Android dispose d’un très bon mécanisme de défense, le système des autorisations d’application. Ce système détermine certaines actions qu’une application est autorisée à effectuer (ou non). Par défaut, toutes les applications Android fonctionnent dans un bac à sable une zone isolée. S’ils veulent accéder, modifier ou supprimer des données en dehors du bac à sable, ils doivent obtenir l’autorisation du système pour le faire. Les autorisations sont divisées en différentes catégories, voici deux d’entre elles normale et dangereuse. Les autorisations normales comprennent des actions telles que l’accès à Internet, la création d’icônes, la connexion Bluetooth, etc. Ces autorisations sont données par défaut et ne nécessitent pas le consentement de l’utilisateur. Si une application a besoin d’une des autorisations “dangereuses”, alors la confirmation par l’utilisateur est nécessaire. Alors pourquoi certaines autorisations sont-elles classées comme dangereuses ? Sont-ils intrinsèquement dangereux ? Et dans quels cas devez-vous les approuver ?

Autorisations dangereuses

La catégorie “dangereuse” contient neuf groupes de permission où les applications sont d’une certaine manière liée à la vie privée ou à la sécurité de l’utilisateur. En retour, chaque groupe contient différentes permissions qu’une application peut demander. Quand un utilisateur confirme une des permissions, l’application reçoit automatiquement toutes les permissions du même groupe sans aucune confirmation supplémentaire. Par exemple, si une application est autorisée à lire les SMS, elle peut également envoyer des SMS, lire des MMS et effectuer d’autres actions de ce groupe.

Calendrier

Si vous utilisez activement votre agenda numérique, l’application saura tout de votre routine quotidienne et pourrait la partager avec des cybercriminels. De plus, une application buggée pourrait accidentellement supprimer une réunion importante de votre calendrier.

Caméra

Une application peut secrètement enregistrer des vidéos ou des photos à tout moment.

Contacts

Une application peut copier votre carnet d’adresses entier. Ces données sont très attrayantes pour les spammeurs et les escrocs. Cette autorisation permet également d’accéder à la liste de tous les comptes que vous utilisez dans les applications de cet appareil.

Localisation

L’application sait toujours où vous êtes. Par exemple, elle pourrait faire savoir aux cambrioleurs que vous êtes loin de chez vous.

Microphone

L’application peut enregistrer tout ce qui se passe près de vos téléphones. Toutes vos conversations. L’application saura quand et qui vous appelez, y compris les numéros de péage.

Capteurs corporels

Lorsque vous utilisez des accessoires comme les capteurs corporels (et non les capteurs intégrés au téléphone), l’application reçoit des données sur votre corps.

SMS

Elle permet à l’application de recevoir et de lire votre SMS entrant et de les envoyer (à vos frais, bien sûr). Par exemple, les criminels peuvent utiliser cette permission pour faire souscrire à vos victimes des services payants non désirés.

Stockage

L’application peut lire, modifier ou supprimer tous les fichiers stockés sur votre téléphone.

Comment définir les autorisations de l’application ?

Vous devez examiner attentivement toute autorisation que vous accordez pour ne pas compromettre votre sécurité en ligne. Par exemple, si un jeu ou un outil d’édition de photos veut accéder à votre emplacement actuel, il est douteux. En même temps, les cartes et les navigateurs ont vraiment besoin de données GPS, mais pas d’accès aux listes de contacts ou au SMS. Si la demande d’autorisation d’une application est suspecte, vous ne devez pas l’installer ou du moins refuser ces autorisations. Sur Android 6 et les versions ultérieures, les applications demandent aux utilisateurs leur permission chaque fois qu’ils ont besoin d’une des dangereuses permissions. Si vous ne voulez pas la donner, vous pouvez toujours refuser la demande. Si l’application a vraiment besoin de ces autorisations, elle affichera un message d’erreur et ne fonctionnera pas correctement. Vous pouvez également vérifier la liste des autorisations et modifier chaque autorisation d’une application. Sélectionnez d’abord Paramètres → Apps (les noms de cette application et des éléments de menu suivants peuvent varier en fonction de votre version d’Android). Vous pouvez maintenant procéder de deux manières différentes. Tout d’abord, vous pouvez vérifier toutes les autorisations attribuées à une application spécifique. Pour ce faire, cliquez sur le nom de l’application et sélectionnez Permissions. De plus, vous pouvez parcourir la liste complète des applications qui ont déjà demandé une permission dangereuse ou qui peuvent encore la demander. Par exemple, il est judicieux de vérifier quelles applications veulent accéder à votre liste de contacts et d’empêcher les applications suspectes de le faire. Pour ce faire, sélectionnez Configure Apps (l’engrenage dans le coin supérieur droit) et cliquez ensuite sur App Permissions.

Droits d’accès spéciaux

En plus des autorisations dangereuses, une application peut également demander des droits d’accès spéciaux. Si c’est le cas, vous devez toujours être prudent : les chevaux de Troie demandent souvent de tels droits.

Accessibilité

Cette autorisation permet aux personnes souffrant de déficiences visuelles ou auditives de travailler plus facilement avec des applications et des appareils. Les logiciels malveillants peuvent abuser de ces fonctions. Après avoir obtenu ces droits, les chevaux de Troie peuvent intercepter les données des applications (y compris le texte en entrée et les mots de passe sont ici la cible principale). En outre, les logiciels malveillants peuvent acheter des applications sur la boutique Google Play Store. Application de messagerie standard les chevaux de Troie bancaires visent à devenir l’application SMS standard ; cela leur permet de lire les SMS et de les cacher même dans les versions ultérieures d’Android. Les chevaux de Troie peuvent, par exemple, utiliser cette fonctionnalité pour intercepter les mots de passe bancaires des SMS et effectuer des transactions malveillantes à l’insu de l’utilisateur (rappelons qu’ils peuvent cacher les SMS). En ayant la permission de cacher les fenêtres d’autres applications, les chevaux de Troie peuvent afficher des fenêtres de phishing sur des applications légitimes (principalement des applications pour les services bancaires mobiles ou les réseaux sociaux). Les victimes pensent qu’elles ont saisi leurs mots de passe dans des formulaires de demande légitimes, mais tout cela se passe dans une fausse fenêtre affichée par le cheval de Troie et, par conséquent, des données sensibles sont transmises aux criminels.

Droits d’administrateur de l’appareil

Avec ces droits, l’utilisateur peut modifier le mot de passe, verrouiller l’appareil ou supprimer toutes les données de l’appareil. Les applications malveillantes essaient souvent d’obtenir ces autorisations ; les applications avec des droits d’administrateur sont difficiles à désinstaller.

Root permissions

Ce sont les autorisations les plus dangereuses. Par défaut, Android App n’accorde jamais ces autorisations, mais certains chevaux de Troie peuvent exploiter les vulnérabilités du système pour les obtenir. Une fois que cela se produit, les autres protections deviennent inutiles, le malware peut faire ce qu’il veut avec les autorisations de la racine, quelles que soient les autorisations que la victime donne ou refuse. Il faut mentionner que même le nouveau système de permission (utilisé dans Android 6) ne protège pas complètement contre les malwares. Par exemple, le cheval de Troie Gugi affiche à plusieurs reprises une demande d’autorisation qui couvre d’autres fenêtres jusqu’à ce qu’elle soit autorisée. Après cela, le malware couvre toutes les autres applications jusqu’à ce qu’il obtienne les autres autorisations dont il a besoin.

Sommaire

Les applications ne devraient pas être autorisées à faire ce qu’elles veulent sur votre téléphone surtout si elles demandent des autorisations dangereuses sans raison. Certaines applications ont en fait besoin de beaucoup d’autorisations. Par exemple, les programmes antivirus ont besoin de nombreuses autorisations pour analyser un système et le protéger de manière proactive contre les menaces. 

La conclusion est la suivante :

Avant d’accorder certaines autorisations, il faut déterminer si l’application en a vraiment besoin. Si vous n’êtes pas sûr, vérifiez en ligne. Et enfin, mais pas des moindres même les utilisateurs les plus attentifs ne sont pas à l’abri des logiciels malveillants qui exploitent les vulnérabilités du système. C’est pourquoi il est important de bien gérer les autorisations de vos applications pour protéger votre vie privée contre l’espionnage par les applications, et d’installer une solution de sécurité fiable contre les logiciels malveillants qui protège votre appareil contre les dangereux chevaux de Troie et virus. Mise à jour le 10 octobre 2018, Google a ajouté un nouveau groupe appelé “Special App Access” aux paramètres d’autorisation des applications sur Android Oreo.