Chez moi, ça commence par ça :
Google change l’affichage de ses changements d’autorisations pour le play store : https://t.co/KCzPgM6I34
— J (@Numendil) 6 Juin 2014
Après, il m’a fallu pas mal de lecture….
C’était le 06 juin, dans ce tweet envoyé un peu à l’arrache, je m’étonnais de la mise à jour des conditions d’affichage des autorisations dans les applications pour Android, je me suis, depuis, étonné du traitement de cette information, pour ainsi dire pas reprise.
Vous pouvez retrouver les conditions à cette adresse. Le principal changement opéré par Google, c’est la façon dont sont affichées les modifications des permissions dans les applications, en gros, les applications qui nécessitent une modification de privilèges n’afficheront plus automatiquement cette demande.
Dans le discours de Google, cette mise à jour est là pour simplifier l’affichage des autorisations, ce qui est d’ailleurs vrai : les autorisations d’une section non autorisée par le passé seront affichées. Peu importe que les mises à jour automatiques soient activées ou non, il faudra que l’utilisateur accepte d’installer l’application si elle a besoin d’accéder à une nouvelle section d’autorisation.
Et c’est là que le problème se situe, pour moi, dans cette « nouvelle section d’autorisations ».
Pour bien comprendre, il faut s’attarder un peu sur le fonctionnement des autorisations, sous le système android : les autorisations marchent par « rubriques », par exemple, une pour l’identité, une autre pour les photos, une autre pour les paramètres réseaux et ainsi de suite. Dans ces rubriques, il y a les autorisations, comme « lire les informations des contacts », par exemple, ou encore « modifier les informations des contacts ».
Or, le nouvel affichage des autorisations ne prend en compte que les nouvelles «rubriques, pas la modification de celles déjà autorisées.
En pratique, ça signifie quoi ?
Ça signifie que vous ne savez pas ce que votre application fait. Exemple : Vous avez l’application Facebook, elle dispose des autorisations pour « accéder au contenu de la carte SD ».
Vous mettez cette application à jour, une nouvelle autorisation est requise : « modifier ou supprimer le contenu de la carte SD », mais, parce qu’elle est dans une rubrique déjà autorisée, la mise à jour ne stipulera pas ça, elle affichera quelque chose comme ça :
Le hic, c’est que je sais qu’Adobe Reader a besoin d’une nouvelle autorisation. Je le sais parce que j’ai refusé de le mettre à jour déjà 5 fois, et qu’il n’y a aucune raison pour que cette autorisation disparaisse comme par magie.
Autre exemple : l’application Youtube que j’utilise n’est pas à jour parce qu’elle demande à activer ou désactiver les paramètres de synchronisation de mon téléphone toute seule, chose que je refuse fermement. Seulement, maintenant, ce n’est plus affiché.
Bah, il n’y a qu’a plus rien mettre à jour, et puis voilà.
Oui, non, mauvaise idée. Les applications sont mises à jour parce qu’elles présentent généralement des failles de sécurité, ne pas les mettre à jour pour éviter les autorisations abusives revient donc à s’exposer à d’autres menaces. Vous voilà donc le téléphone entre deux chaises…
Ce choix de Google me semble étonnant : dans un contexte post révélations de Snowden, donner moins de visibilité à ce paramètre m’inquiète, d’autant plus qu’il est admis que les renseignements se servent des applications pour récupérer des données sur les utilisateurs.
C’est aussi un risque plus grand pour l’utilisateur, puisqu’il y a maintenant moins de visibilité sur ce que demande une application.
De l’autre côté, je cherche à comprendre les raisons de cette mise à jour et j’en viens à me dire que c’est peut-être parce que de moins en moins de gens mettaient à jour leurs applications qu’ils ont décidé de faire ça.
Depuis les révélations citées au-dessus, beaucoup de personnes, au moins dans mon entourage large, font plus attention aux autorisations requises. Cette prise de conscience a peut-être dérangé Google et les fournisseurs d’applications sur le Play Store, poussant la firme à modifier l’affichage des autorisations…
Quoi qu’il en soit, j’initie donc ici le premier billet d’une suite, qui découle de cette mise à jour. Le prochain billet sera consacré aux autorisations, dans le détail, ainsi qu’aux autorisations les plus sensibles.
Quant à cette information, c’est peut-être un détail pour vous, mais pour moi ça veut dire beaucoup…. Ne me cherchez pas, je suis déjà parti rédiger le second billet, dehors, loin.