Un malware frappe à la porte de votre Android, vous le laissez entrer?

Un malware frappe à la porte de votre Android, vous le laissez entrer?

Chaque fois que l’on installe une application, il faut valider des permissions pour cette dernière. Que signifient-elles en réalité? Supposent-elles un danger pour votre sécurité ou votre vie privée?

Pour utiliser la caméra, la connexion à internet et autres fonctionnalités de votre smartphone, les applications demandent des permissions au système Android. Les applis s’installent uniquement si vous les accordez, et on peut seulement les accepter ou les refuser en bloc: c’est tout ou rien. Le problème, c’est quand une appli combine de nombreuses autorisations: les vérifier en détail est un exercice fastidieux, et on finit souvent par accepter tout sans y prêter attention.

Permissions - Google Play

Accorder les permissions à la légère peut avoir des conséquences désagréables, comme l’envoi de SMS ou la subtilisation de données personnelles, comme c’est arrivé avec ce virus. Vérifier les autorisations est une tâche qui prend moins d’une minute et peut vous éviter bien des désagréments à l’avenir (comme d’avoir à modifier tous ses mots de passe).

Mieux vaut donc passer en revue les permissions les plus souvent sollicitées par les applis. Voici la liste, accompagnée du détail des risques liés à ses autorisations, et quelques conseils pour s’en prémunir.

Achats intégrés: attention aux extorsions et aux arnaques

Derrière l’intitulé pourtant clair des “achats intégrés”, Android autorise les applis à effectuer des transactions sans passer par Google Play. Un jeu comme Candy Crush Saga, par exemple, permet d’acheter des objets qui aident à passer des niveaux, mais il existent d’autres applis qui utilisent ce procédé pour extorquer de l’argent sous couvert de  fonctionnalités parfois factices.

Le malware Fakedefender, par exemple, était un faux antivirus qui affichait des alertes de sécurité et proposait de nettoyer le téléphone, moyennant une transaction via l’application. Il existe également des jeux en apparence complets, qui proposent des achats intégrés depuis l’appli: lorsqu’un enfant y joue, il arrive parfois qu’il réalise un achat sans même s’en rendre compte.

Android Defender, le faux antivirus qui abusait des achats intégrés

Pour éviter les problèmes liés aux achats intégrés, il est possible d’activer la protection par mot de passe de Google Play. Cela évite au passage la plupart des achats compulsifs. Et surtout, il faut veiller à ne pas se laisser berner par les fausses promesses des applis.

Données mobiles et Wifi: la grande évasion des données perso?

Les autorisations de données mobiles et d’accès au Wifi sont relativement inoffensives, car elles sont nécessaires à la connectivité des applications. N’importe quelle appli qui se connecte à internet doit les solliciter. Or, ces permissions peuvent se révéler dangereuses lorsque, combinées avec d’autres, elles donnent le feu vert à l’appli pour communiquer des données personnelles.

Il faut être vigilant avec la combinaison Accéder aux contacts et Données mobiles, notamment. Pourquoi une appli de gestion de contacts, sans services en ligne, aurait besoin d’une connexion internet? Cela peut être lié à la publicité affichée par l’appli, mais mieux vaut s’en assurer. En cas de doute, il est possible de bloquer cette connexion au moyen d’un pare-feu (qui peut aussi servir à désactiver la publicité dans certains jeux).

Historique des applis et du dispositif: l’historique et les favoris sont ici

Ces permissions permettent à une application de consulter les données du téléphone, comme les sites que vous avez consultés, les favoris ou les applis en cours d’exécution. Un navigateur internet, un gestionnaire de tâches ou une application de réseau social peuvent avoir besoin d’accéder à votre liste d’applications ou à vos marque-pages pour les consulter ou les modifier, mais ce n’est pas le cas d’un jeu, par exemple.

Si le navigateur web Google Chrome demande l’accès à vos favoris et à votre historique, c’est normal

Les risques pour la vie privée sont évidents: ces données personnelles sont très prisées par la NSA ou par n’importe qui, qui souhaiterait espionner vos habitudes de navigation. De même, si une appli ne gère pas la mémoire de votre téléphone, il n’y a aucune raison pour qu’elle accède à la liste des applications en cours d’exécution. Il faut toujours se demander s’il y a une raison légitime pour qu’une appli sollicite telle ou telle permission.

Identité et comptes: vos comptes à disposition de n’importe quelle appli

Les permissions d’identité permettent à une appli d’accéder à vos données personnelles, comme les connexions aux comptes que vous avez sauvegardées dans votre téléphone. Ça a du sens pour une application comme Facebook ou Twitter, mais beaucoup moins quand votre identité n’a rien à voir avec l’objet principal de l’application. Entre autres, un virus qui abuserait de cette permission pourrait aller jusqu’à effacer vos données de connexion.

Contacts, calendrier: attention à ne pas partager votre répertoire avec n’importe qui

Le principal danger de ces permissions réside dans la consultation de votre liste de contacts et des évènements du calendrier. Une appli malintentionnée pourrait supprimer des numéros de téléphone et des emails, ou effacer des évènements du calendrier sans votre autorisation (voire inviter des gens sans votre autorisation).

Le virus FireLeaker, par exemple, dérobait des numéros de téléphone et des adresses mail, puis les envoyait à un serveur contrôlé par des cybercriminels. Ces données étaient ensuite revendues à des entreprises qui envoient du spam sous forme d’emails ou de SMS.

Localisation: ce jeu doit-il vraiment savoir où vous vous trouvez en ce moment ?

Ce groupe de permissions donne accès aux capteurs de localisation, comme le GPS. Utile pour les cartes, les guides de voyage et les applis qui ajoutent des données géographiques à vos photos ou à vos publications. Mais si cette autorisation n’a rien à voir avec l’objet de l’appli, il faut y regarder à deux fois.

En plus d’être gourmande en batterie, la récupération des données de localisation peut être une entrave à la vie privée. Le malware TigerBot, découvert en 2012, envoyait la position GPS du téléphone, en même temps que d’autres données, comme des conversations ou des images enregistrées par le téléphone.

SMS: attention à l’envoi de messages surtaxés

Si vous voyez cette permission, demandez-vous pourquoi cette appli a besoin de recevoir, de lire ou d’envoyer des SMS. Parfois, la réception d’un texto est nécessaire pour s’inscrire à un service, mais en d’autres occasions, l’envoi de SMS surtaxés est une arnaque très lucrative.

En 2014, Panda Labs a découvert qu’une application de régime, téléchargée 300.000 fois, inscrivait les utilisateurs à un programme de SMS surtaxés, réalisant une escroquerie aussi simple qu’efficace.

Téléphone: quand une appli peut passer des appels à votre place

Ces permissions sont conçues pour des applis qui doivent composer des appels ou les gérer. Des services de messagerie comme LINE ou Whatsapp, des bloqueurs d’appels ou des répondeurs automatiques ont besoin de ce genre d’autorisation.

Mais pour des applis qui n’ont rien à voir avec la fonction téléphone, ces permissions peuvent supposer des appels surtaxés à votre insu. Le malware MouaBad, découvert en 2013 par Lookout, permettait aux cyberpirates d’effectuer des appels très couteux sans que le propriétaire du téléphone ne s’en rende compte.

MouaBad.P, le malware qui appelait des numéros surtaxés à votre insu

MouaBad.P, le malware qui appelait des numéros surtaxés à votre insu

Photos, données et archives: et si quelqu’un pouvait les consulter?

Si une appli a besoin de stocker des archives, elle va demander l’autorisation de modifier ou éliminer du contenu de la mémoire de votre smartphone. Il est difficile de savoir dans quels cas cette permission sera utilisée de forme abusive, par exemple pour voler ou effacer des données.

Certains virus sont capables de prendre le contrôle du téléphone et d’envoyer des photos ou autres fichiers sur internet. L’appli Pixer, qui est encore disponible sur Google Play, abuse de ce type de permission et récupère les images des utilisateurs sur ses propres serveurs.

Appareil photo, micro: des permissions dignes de films d’espionnage

Quand on laisse une appli accéder à l’appareil photo ou au micro, elle peut enregistrer des images ou des sons depuis votre téléphone mobile. C’est tout à fait légitime pour des applications comme Instagram, Skype ou Facebook. Dans d’autres cas, il faut être vigilant.

placeraider

PlaceRaider, une appli capable de prendre des photos au hasard et de reconstituer des pièces entières

L’appli PlaceRaider est un exemple d’abus de ce type de permissions, accordées trop facilement: créée par une équipe de chercheurs américains, elle est capable de prendre des photos à votre insu et de reconstituer des pièces entières. L’espionnage jusque chez vous.

Numéro de série et données d’appels: la carte d’identité de votre téléphone

Derrière ces intitulés, Android autorise les applications à connaître en détails votre téléphone. Ceci implique d’accéder à des données comme le numéro IMEI, qui est un peu la carte d’identité du téléphone. Il est assez facile à récupérer pour le propriétaire du téléphone.

Un exemple des données qui sont accessibles à travers les permissions d'identité du téléphone

Un exemple des données qui sont accessibles à travers les permissions d’identité du téléphone

A partir d’un IMEI valide, une personne malintentionnée pourrait cloner votre téléphone et réaliser des appels; la facture serait pour vous. Il est également possible de bloquer un smartphone en le déclarant comme volé à la police. Le virus BadNews est un exemple de malware de ce type.

“Autres”: un fourre-tout potentiellement dangereux

En plus des permissions classiques d’Android, une appli peut solliciter d’autres autorisations uniques. Il est très important de les repasser en détails, quand cet intitulé apparaît. Certaines sont très sensibles, comme la lecture de vos messages sur les réseaux sociaux, l’accès total au réseau ou le contrôle de certaines fonctionnalités du smartphone. Il n’y a pas de limite: la catégorie “Autres” peut dissimuler une permission qui va mettre en péril la sécurité de vos données privées.

La règle d’or: être vigilant et utiliser des analyseurs de permissions

En cas de doute, on peut toujours poser une question aux auteurs de l’application. Il est possible de leur écrire un message depuis Google Play, ou bien un commentaire, en attendant une réponse. Les commentaires des autres utilisateurs (et la note de l’appli) sont autant de pistes pour savoir si une application est sécurisée et fiable. Devant une appli douteuse, il ne faut rien installer sans s’être informé un minimum auparavant.

Et les applis déjà installées? Il existe des utilitaires qui se consacrent à vérifier les permissions de tous les logiciels installés dans votre téléphone ou votre tablette. Un bon exemple est F-Secure App Permissions, qui scanne toutes les autorisations utilisées par vos applis et révèle les cas les plus suspicieux pour que vous puissiez décider de les conserver ou non, en connaissance de cause.

F-Secure App Permissions donne une note à chaque appli selon les permissions sollicitées

F-Secure App Permissions donne une note à chaque appli selon les permissions sollicitées

A travers cet exposé, il peut sembler que toutes les permissions vous veulent du mal. C’est loin d’être le cas: elles sont indispensables au bon fonctionnement de la plupart des applis. La manière de laquelle Android gère ces permissions, cependant, est loin d’être rassurante, puisqu’elle laisse la porte ouverte à des erreurs d’inattention qui peuvent coûter cher. Et il est très facile de laisser passer une permission abusive…

Sources des images: Google Play, Tudocelular, MIT, CodePainters, TheDroidGuy

A lire:

Article original de Fabrizio Ferri-Benedetti – Softonic.com. Traduit et adapté de l’espagnol.

Voir tous les commentaires
Commentaires en cours de chargement

Articles les plus récents

Top téléchargements