Dans la première partie de ce billet, nous avons fait le point sur la mise à jour de l’affichage des autorisations requise dans les applications sur Android. Je sais, ça fait vachement long à lire.
Dans la seconde partie de ce billet, nous allons décrire un peu plus en détail les autorisations sous les systèmes android : il faut bien savoir quoi protéger pour faire attention, non ?
Nous allons commencer assez simplement : il y a plus de 150 autorisations différentes sous android et, de prime abord, ça peut sembler assez énorme. C’est d’ailleurs pour ça que nous allons faire le point.
Si vous voulez obtenir la liste complète, et à jour, c’est là que ça se passe : (et les groupes d’autorisations sont ici)
Ce qu’il y a de bien avec ces pages c’est qu’une petite description est présente, je sais donc, par exemple, que « CHANGE_WIFI_MULTICAST_STATE » permet de changer l’état multicast du Wi-Fi.
…
Bon, bien, le but de de blog, ce n’est pas de parler uniquement à celles et ceux qui savent lire un langage chiffré pour le commun des mortels, sans élitisme, « nous » – si tant est que je puise dire nous – sommes généralement entre « nous » et le principe, ici, c’est de faire en sorte de vous inviter dans ce « nous », que tout soit compréhensible, peu importe votre niveau.
Je vous invite quand même à lire les deux liens précédents, si vous avez des notions d’anglais, c’est parfaitement suffisant. Nous allons donc nous concentrer sur les autorisations les plus sensibles du système.
Les points suivants sont donc, selon moi, les plus sensibles pour votre vie privée et l’intimité de vos données, n’hésitez pas à commenter au besoin.
Le groupe d’autorisation « Identité », « Localisation », « Photos / Médias / Fichiers » et « SMS » me semblent déjà un bon début pour faire attention
Côté Identité, pour faire très bref, une application pourra disposer des droits suivants :
- Rechercher des comptes sur l’appareil
- Lire votre fiche de contact (nom et coordonnées)
- Modifier votre fiche de contact
- Ajouter ou supprimer des comptes
Côté Localisation
- Accéder à la localisation approximative
- Accéder à la localisation précise
- Accéder à la localisation par le fournisseur
- Créer des points de localisation fictifs
Vous l’aurez compris, c’est la même pour la suite : il sera ainsi possible d’accéder aux photos, médias et fichiers, de les modifier via une autre autorisation, de les supprimer via une autre et ainsi de suite.
Il en va de même pour les SMS, qui peuvent être lus via une autorisation, envoyés à votre insu via une autre, payants via une énième, transmis et ainsi de suite … la liste est plus longue sur la partie SMS d’ailleurs.
Je n’ai pas réussi à remettre la main sur une adresse qui facilite grandement la lecture des autorisations, j’éditerai le billet dès que ça sera corrigé.
Je vais essayer, maintenant, d’être un peu plus parlant.
Vous disposez d’une application qui utilise une autorisation du groupe « Camera ». A l’époque, vous avez autorisé cette application parce qu’elle prend des photos, c’était d’ailleurs la seule autorisation requise dans ce groupe. Parfait, une application qui me donne confiance, c’est moi qui décide de l’utilisation de l’appareil.
Seulement, depuis cette mise à jour dont nous parlions au précédent billet, il n’y a plus de notifications d’une nouvelle autorisation requise si cette dernière fait partie d’un groupe d’autorisation déjà présent.
Revenons à notre cas pratique. Votre application doit être mise à jour, vous faites confiance à cette dernière et votre appareil vous dit qu’aucune autorisation supplémentaire n’est requise, pourquoi s’inquiéter…
Et c’est ainsi que vous donnez à votre application le contrôle total de la caméra, le droit de l’utiliser sans prévenir, de prendre des photos, de transmettre les clichés, de prendre des enregistrements sonores, à nouveau sans vous prévenir, bref, de doper l’espion déjà bien costaud qui est dans votre main.
Voilà, pour rejoindre l’explication du premier billet, le résultat de cette mise à jour. Le constat est assez dramatique, je trouve, et très visible là : perte de visibilité, de pouvoir, de sécurité pour l’utilisateur.
Google répondra qu’il est possible d’aller voir dans le détail de chaque application, sauf que nous sommes, au doigt mouillé, moins de 5% à systématiquement vérifier scrupuleusement une application, non ?
Google n’est pas sans le savoir, leur choix représente donc pour moi une très mauvaise nouvelle.
Puis, comme expliqué dans le précédent billet, ne pas mettre à jour son application représente un danger, puisque cela revient à s’exposer à d’éventuelles failles.
On peut également se dire qu’en soi, les développeurs savent ce qu’ils font, qu’ils n’abusent pas avec les autorisations, mais ça serait une grosse erreur.
Démonstration :
Est-ce que quelqu’un peut m’expliquer pourquoi une application où il faut faire glisser des chiffres vers une direction doit accéder à mes fichiers ?
Vous seriez surpris, peut-être, de savoir que les Angry Birds peuvent accéder à votre position approximative, que des écrans de veille ont le droit d’envoyer des SMS payants et j’en passe encore.
On peut, enfin, se dire qu’il faut régler ces autorisations, et je suis parfaitement d’accord avec vous. Seulement, ce n’est pas si simple que ça, Android ne vous laisse pas modifier ses autorisations « comme ça », et ça sera l’objet d’un dernier billet.
Alors, vous avez une application un peu trop gourmande ? Pour ceux qui n’ont pas trouvé où cela se situe, c’est du côté de « Paramètres », puis « Applications », il faut choisir une application, et en bas, vous aurez « Autorisations ».
Suite et fin au prochain billet.
Pour moi, c’est LA grosse raison pour laquelle CyanogenMod est irremplaçable : par défaut les nouvelles applications ne peuvent accéder à rien, et une boite de confirmation apparait des qu’elles veulent accéder à des donnés sensible 😉
C’est pas mal en effet, et ça confirme un peu plus encore qu’Android devrait revoir sa gestion des autorisations de base.
Après, le système de CyanogenMod pourrait faire peur à pas mal de gens, s’il faut configurer, sans chercher à prendre quiconque pour plus bête qu’il n’est, les gens aiment cliquer et « hop, magie » :/
Merci chef pour ces billets.
Je me demande si une fois une appli desinstallé , admettons Angry Bird, s’il ne reste pas des fichiers residuels qui continuent a balancer des infos.
C’est une bonne question, le gestionnaire android fait sauter les applications donc les autorisations avec, j’allais répondre « non, pas moyen », mais on ne sait jamais…
Tiens, c’est marrant j’ai tiqué aussi sur la nouvelle autorisation de 2048 ; d’ailleurs je la refuse 🙂
D’ailleurs moi également :p, mais quid de toutes les autres acceptées par celles et ceux qui se dont dit « tiens, la dernière mise à jour de Youtube est là et pas besoin de nouvelles autoristions »…
…
Alors que la nouvelle permet de modifier les paramètres de synchronisation de l’application avec les données de l’utilisateur.
Bonjour à vous, j’étais content de quitter le monde PC pour consulter les annonces, les sites et guides touristiques me voici de nouveau confronté à ce même phénomène de non respect de la vie privée… Je vais revenir au mode d’achat de magazines, guides touristiques, je viens juste d’acheter un appareil photo pour remplacer celui de ma tablette qui n’avait rien d’un APN et au risque de faire piquer mes photos! Pour ajouter sur ce dernier quelques accessoires je me suis rendu sur un site très connu, mais il faut enregistrer sa carte bancaire pour valider la commande… du grand n’importe quoi non ? Ils vont finir par par tuer la poule aux d’or. Quand c’est trop bien cela ne dure pas longtemps. Voilà je vais maintenant jetter ma tablette car j’ai desinstallé pas de programmes et je ne sais pas si elle va encore fonctionner demain. Bon courage aux survivants… 🙂
Suite : J’ai oublié quelques mots dans le précédent message, désolé il se fait tard, peut être à une autre fois.