Confidentialité : l’indiscrétion des applications Android

Pourquoi un gestionnaire de fonds d’écran aurait-il besoin d’envoyer des SMS ? Zscaler est formel : c’est le genre de question que devrait se poser tout utilisateur d’Android.

L’éditeur américain spécialisé dans la sécurité informatique a analysé les permissions demandées par plus de 75 000 applications disponibles sur Google Play. Ses conclusions sont éloquentes : il arrive que les données personnelles soient effectivement exploitées pour fournir des services à valeur ajoutée, mais elles sont souvent purement et simplement revendues à des départements marketing.

Pour autant, les utilisateurs sont prêts à faire beaucoup de concessions afin de pouvoir installer une application… sans toujours évaluer les risques qu’ils prennent pour leur propre sécurité. Ils ont d’autant moins de marge de manoeuvre que le modèle d’Android implique de devoir accepter absolument toutes les autorisations déclarées dans le fichier de configuration AndroidManifest.xml lié à une application pour pouvoir l’utiliser.

Parmi les nombreuses applications qui sollicitent des permissions relatives aux SMS, 68% demandent à en envoyer. C’est la technique employée dans le cadre d’arnaques aux messages surtaxés ; ce qui implique donc de redoubler de vigilance, même si Google élimine théoriquement ce genre de logiciels malveillants sur son Play Store. Attention aussi aux 28% d’applications qui souhaitent accéder aux SMS reçus. Un tel privilège expose à des risques de récupération d’informations confidentielles, tout particulièrement les codes d’authentification envoyés par certains services en ligne.

Autre fonction régulièrement exploitée : la géolocalisation. Plus d’un tiers des applications passées au radar (36%) y ont recours. Elles sont encore plus nombreuses (46%) à collecter des informations propres au téléphone : code IMEI, identifiant de la carte SIM… Autant d’éléments qui permettent de suivre plus facilement le  parcours de l’utilisateur.

Certaines applications n’hésitent pas à demander un accès au numéroteur téléphonique (9%) ou à jeter un œil aux répertoires de contacts (10%), voire à l’agenda (4%). Au global, elles sont 90% à se connecter à Internet. 80% en profitent pour analyser les caractéristiques du réseau qu’elles exploitent.

Notant que les applications développées par Google ne sont pas les moins intrusives, Zscaler recommande de ne pas « rooter » son téléphone, ce qui aurait pour effet de désactiver certaines fonctionnalités de sécurité embarquées dans le système d’exploitation. Autres conseils : verrouiller systématiquement l’écran après utilisation, mettre en place un code PIN et être capable d’effacer des données à distance en cas de perte ou de vol.

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous les meilleures applications Android pour les pros ?

Crédit photo : Lukiyanova Natalia / frenta – Shutterstock.com