En coulisse
101

Les permissions : Ce que votre téléphone veut que vous fassiez

Dominik Bärlocher
4/7/2018
Traduction: traduction automatique
Collaboration: Melanie Anna Lee, Stephanie Tresch

Chaque application sur chaque téléphone vous demande la permission d'accéder aux composants et aux logiciels. Il est difficile de gérer correctement les permissions, car elles sont souvent opaques. De plus, vous les acceptez souvent sans vous poser de questions. Voici un aperçu de ce qui est probablement la caractéristique la plus défectueuse du monde des smartphones.

"Vous, je ne veux pas de cet appareil mobile", dit une cliente de la boutique zurichoise.

Elle vient de recevoir un téléphone de remplacement de la flotte de téléphones de remplacement de digitec et installe le Lenovo P2 dans la boutique. Ce téléphone est le modèle que les assistants de magasin vous donneront s'ils doivent envoyer le vôtre. Le choix s'est porté sur le P2 car il est bon marché, puissant et stable, et devrait donc survivre à plusieurs clients. Il a remplacé le Wiko Highway Star qui a rendu de bons services pendant des années.

Pourquoi donc la cliente n'en veut pas?

"L'application de contact de mon appareil mobile veut avoir accès à ma localisation. Je ne le veux pas"
.
Bien pensé. Une application de contact ne devrait vraiment pas avoir besoin d'accéder aux données de localisation. Pourquoi le ferait-elle ? L'application lit vos contacts Google et les affiche dans le design de Lenovo. C'est tout ce qu'elle doit faire. Elle a peut-être besoin de la permission "Camera" si l'application vous permet de prendre une photo de votre collègue et de l'utiliser comme image de contact. Mais "Location" est un peu absurde.

La solution de contournement pour la cliente est simple : Google Contacts a également besoin d'une montagne de permissions, mais pas des données de localisation. Cette montagne peut sembler menaçante, mais elle ne l'est pas. Voyons cela en détail.

La montagne des permissions démontée

Pour comprendre les permissions, il faut comprendre un peu le matériel de votre téléphone. Votre téléphone n'est pas une boîte de magie noire, c'est un ordinateur. Les ordinateurs suivent toujours une logique, même si vous devez penser un peu différemment pour les comprendre.

Donc, vite fait, une parenthèse dans laquelle je te désenclave la magie noire.

Interlude : Pourquoi une application de lampe de poche a besoin d'accéder à votre caméra

Un bon exemple de la façon dont vous devez penser au coin de la rue est l'application de lampe de poche. Si vous cherchez quelque chose dans l'obscurité, la lampe de poche sur votre téléphone vous sauvera la vie. En effet, qui a toujours une lampe de poche à portée de main ? La plupart des nouveaux téléphones ont une lampe de poche intégrée dans la ROM Android. Mais si ce n'est pas le cas, vous pouvez utiliser une application lampe de poche.

Dès que vous installez l'application, elle vous demande la permission "Camera". Pourquoi?

La lampe torche de votre téléphone n'est en fait pas une lampe torche du tout. Il s'agit du flash de l'appareil photo, qui n'est pas vraiment un flash, mais une simple ampoule LED. De plus, cette LED fait partie du système de l'appareil photo de votre téléphone
.
Lorsque vous allumez la lampe de poche, vous dites essentiellement au téléphone "Tu vas faire un flash jusqu'à ce que je te dise d'arrêter". Pour cela, l'application doit parler au système de l'appareil photo. D'où la permission "Camera". A cela s'ajoute la permission "Control Flashlight", pour des raisons évidentes.

Google Contacts au niveau des permissions

Ainsi, nous avons un exemple. Prenons maintenant le cas des permissions de Google Contacts. Car si l'application requiert quelques permissions, ce n'est pas sans raison. J'ai parfois dû faire des suppositions sur l'interprétation des autorisations, car Google ne communique pas clairement sur l'utilisation réelle des autorisations
.

Identité

  • find accounts on the device : accès aux comptes associés au téléphone, c'est-à-dire Google, Facebook, LinkedIn...
  • add or remove accounts : Gérer les comptes trouvés ci-dessus
  • read your own contact card : lire ses propres coordonnées
  • modify your own contact card : personnaliser vos propres coordonnées

Calendar

  • read calendar events plus confidential information : enregistrer les anniversaires, envoyer des invitations à des rendez-vous, ....

Contacts

  • find accounts on the device : accès aux comptes liés au téléphone, c'est-à-dire Google, Facebook, LinkedIn...
  • read your contacts : lire les données de contact
  • modifier vos contacts : Modifier les données de contact uniquement sur votre compte. Les modifications apportées ici ne changeront pas les données de contact de vos amis. Par exemple, vous n'enregistrez pas votre mère sous son nom mais sous "Mami"

SMS

  • read your text messages (SMS or MMS) : association de contact avec des messages texte

Phone

  • directly call phone numbers : appeler directement depuis l'app de contact, souvent l'inverse de cette fonction est enregistré dans l'app de téléphone du Phone
  • read call log : Journal d'appels, souvent contactés, ...
  • read phone status and identity : important si vous avez catégorisé vos contacts et que certains contacts peuvent vous déranger malgré le mode veille

Photos / Media / Files

  • lire le contenu de votre stockage USB : photos de vos contacts, associer des photos aux contacts
  • Storage : pour cela, l'application doit généralement avoir accès au stockage
  • read the contents of your USB storage : accès général au stockage USB (si disponible)
  • Device ID &amp ; call information : important pour les appels. Le téléphone peut-il sonner ? Quel téléphone sonne ? Quelle image doit être affichée?
  • read phone status and identity : important si vous avez catégorisé vos contacts et que certains contacts peuvent vous déranger malgré le mode veille

Other

  • read sync statistics : quand les contacts ont-ils été synchronisés pour la dernière fois avec la sauvegarde sur le cloud?
  • receive data from Internet : Autoriser l'application à synchroniser la sauvegarde
  • view configured accounts : L'application est autorisée à voir les comptes Google sur votre téléphone
  • view network connections : Quelle est la puissance de la connexion réseau ? Le Wi-Fi est-il activé ou désactivé ? Ceci est pertinent si nous considérons la voix sur LTE (VoLTE)
  • full network access : pour que l'application puisse synchroniser les sauvegardes et établir des appels téléphoniques, elle doit avoir accès au réseau de données ainsi qu'au réseau téléphonique
  • control Near Field Communication : échange de contacts via NFC
  • read sync settings : peut consulter les paramètres de synchronisation sur le téléphone
  • run at startup : démarre lorsque vous allumez le téléphone
  • use accounts on the device : peut utiliser les comptes sur le Phone, peut passer directement de l'app contact à WhatsApp si vous choisissez l'option
  • control vibration : important si vous avez catégorisé vos contacts et que certains contacts peuvent vous déranger malgré le mode veille
  • prevent device from sleeping : le téléphone ne se met pas simplement en veille lorsque vous êtes au téléphone
  • modify system settings : peut modifier les paramètres de synchronisation et d'autres paramètres
  • toggle sync on and off : peut modifier les paramètres de synchronisation et autres réglages
  • installer des raccourcis : Permet de créer des raccourcis vers les contacts sur votre écran d'accueil
  • read Google service configuration : peut voir les paramètres de Google

Le plus gros problème avec les permissions

Dans les versions récentes d'Android, votre téléphone vous demande si vous souhaitez accorder ou refuser des permissions à l'application. Si l'application est bien programmée, cela n'affecte pas son fonctionnement dans l'ensemble. Vous pouvez toujours regarder des photos sur Instagram si vous refusez à l'application l'accès à l'appareil photo.

C'est là que les choses se corsent, si vous avez eu le problème de la cliente de la boutique. Elle a retiré à l'app Contact sur le P2 l'autorisation d'accéder aux données de localisation. L'application s'est immédiatement bloquée. Au redémarrage, l'app demande à nouveau l'autorisation. Refusée à nouveau. Nouveau crash. Redémarrage à nouveau. Nouvelle question. La boucle est sans fin. C'est du mauvais codage de la part de Lenovo sur le P2. Comme il existe une multitude d'applications de contact sur le Play Store, Lenovo a apparemment abandonné le développement de sa propre application de contact. Depuis mai 2018 au plus tard, selon les rapports et le Lenovo Support Pages, Lenovo utilise Google Contacts.

Le problème du "Oui, continuez, OK"

Quand bien même Google et d'autres développeurs Android se donnent du mal avec les permissions, leurs efforts sont vains. La raison en est vous. La plupart des utilisateurs ne remettent malheureusement pas en question les permissions. Lorsqu'ils installent une application, ils cliquent simplement sur "Oui", "Suivant", "Autoriser" et "OK".

Ce comportement est certes légitime, mais n'aide pas la situation globale des permissions douteuses. Bien sûr, Lenovo n'a probablement pas de mauvaises intentions en demandant les données de localisation pour une application de contact. Cela pourrait être une fonctionnalité qui vous indique à quelle distance un contact se trouve de vous.

D'autres applications cherchent à obtenir vos données ou utilisent simplement votre comportement d'utilisateur pour générer du trafic à des fins publicitaires. L'application TouchPal en est un exemple. Le clavier vous bombarde de publicités, même si vous avez acheté le pass premium "No Ads". Les commentaires dans les colonnes de revues sont remplis de "Affiche encore des publicités".

D'où mon conseil : réfléchissez à la permission que vous donnez à vos applications. Soyez plutôt conservateur et essayez de voir ce qui se passe si vous ne donnez pas cette permission. Mieux vaut en avoir moins que plus. Si vous refusez une permission qui rend l'application inopérante, redémarrez simplement l'application et elle demandera à nouveau la permission.

Que peut-il se passer si tout va mal?

Pour conclure cet article, j'aimerais aborder rapidement le pire des scénarios : Si vous donnez trop de permissions à une application et que quelqu'un fait quelque chose de mal avec votre téléphone.

Les chercheurs en menaces de Trend Micro ont rassemblé dans une galerie les douze permissions les plus abusées.

  1. Localisation basée sur le réseau : attaques qui ont une localisation précise ou une zone cible définie. Par exemple : Si vous êtes en Russie, les criminels peuvent vous rediriger vers des sites russes qui vous veulent du mal
  1. GPS Location : utilisé dans la distribution d'attaques et de logiciels malveillants avec une zone cible définie
  1. View Network State : Les applications malveillantes recherchent les connexions réseau existantes afin d'exécuter d'autres commandes et routines, y compris les téléchargements de logiciels malveillants et l'envoi de messages texte. Les applications peuvent établir et interrompre des connexions réseau sans que vous ne fassiez quoi que ce soit, vider votre batterie et consommer du volume de données
  1. View WiFi State : Les criminels peuvent utiliser des bugs de périphériques pour voler des mots de passe WiFi et ainsi s'introduire dans les réseaux que vous utilisez
  1. Retrieve Running Apps : les criminels peuvent voler les informations qui transitent par les applications en cours d'exécution. Ils peuvent également désactiver les applications de sécurité
  1. Full Internet Access : les applications malveillantes peuvent communiquer en ligne avec leurs centres de commande ou télécharger des logiciels malveillants
  1. Read Phone State and Identity : une cible de choix pour les logiciels malveillants et les applications de vol d'informations
  1. Automatically Start at Boot : permet à une application malveillante de se lancer automatiquement lorsque vous allumez votre téléphone
  1. Control Vibrator : utilisé lorsqu'une application a besoin de temps pour intercepter les informations contenues dans les e-mails, les messages texte et autres communications
  1. Prevent from Sleeping : Les applications malveillantes utilisent cette permission pour garder votre téléphone actif en permanence afin qu'il exécute du code malveillant. Cela peut également vider votre batterie
  1. Modifier/supprimer le contenu de la carte SD : les criminels enregistrent des copies de données volées sur votre carte SD avant de les transmettre à un centre de commande. Les logiciels malveillants peuvent également supprimer des photos et d'autres données personnelles sur votre carte mémoire
  1. Send SMS Messages : les fournisseurs de services premium peuvent utiliser cette autorisation pour envoyer des SMS payants depuis votre téléphone vers un numéro qu'ils contrôlent. Ils font ainsi grimper votre facture de téléphone et peuvent également communiquer avec les centres de commande

La plupart de ces permissions sont utilisées pour ouvrir la porte aux criminels, qui peuvent soit abuser de votre smartphone pour sa puissance de calcul, soit récupérer des informations. Une seule d'entre elles peut vous causer des dommages financiers directs et une seule peut entraîner la perte de données.

Malgré tout, il est recommandé de n'accorder des permissions que lorsque c'est absolument nécessaire.

Cet article plaît à 10 personne(s)

User Avatar
User Avatar
Dominik Bärlocher
Senior Editor
dominik.baerlocher@digitecgalaxus.ch

Journaliste. Auteur. Hackers. Je suis un conteur d'histoires à la recherche de limites, de secrets et de tabous. Je documente le monde noir sur blanc. Non pas parce que je peux, mais parce que je ne peux pas m'en empêcher.

Smartphone
Suivez les thèmes et restez informé dans les domaines qui vous intéressent.
Informatique
Suivez les thèmes et restez informé dans les domaines qui vous intéressent.

Ces articles pourraient aussi vous intéresser

  • En coulisse

    Mes applications root préférées pour Android 13

    par Martin Jud

  • En coulisse

    Android Q : Google s'aligne, ne révolutionne rien

    par Dominik Bärlocher

  • En coulisse

    Ancien matériel de smartphone sous Android 13 : mon chemin vers la ROM personnalisée

    par Martin Jud

1 commentaire

Avatar
later