Dans la première partie de ce billet, nous avons fait le point sur la mise à jour de l’affichage des autorisations requise dans les applications sur Android. Je sais, ça fait vachement long à lire.

Dans la seconde partie de ce billet, nous allons décrire un peu plus en détail les autorisations sous les systèmes android : il faut bien savoir quoi protéger pour faire attention, non ?

Nous allons commencer assez simplement : il y a plus de 150 autorisations différentes sous android et, de prime abord, ça peut sembler assez énorme. C’est d’ailleurs pour ça que nous allons faire le point.

Si vous voulez obtenir la liste complète, et à jour, c’est là que ça se passe : (et les groupes d’autorisations sont ici)

Ce qu’il y a de bien avec ces pages c’est qu’une petite description est présente, je sais donc, par exemple, que « CHANGE_WIFI_MULTICAST_STATE » permet de changer l’état multicast du Wi-Fi.

…

Bon, bien, le but de de blog, ce n’est pas de parler uniquement à celles et ceux qui savent lire un langage chiffré pour le commun des mortels, sans élitisme, « nous » – si tant est que je puise dire nous – sommes généralement entre « nous » et le principe, ici, c’est de faire en sorte de vous inviter dans ce « nous », que tout soit compréhensible, peu importe votre niveau.

Je vous invite quand même à lire les deux liens précédents, si vous avez des notions d’anglais, c’est parfaitement suffisant. Nous allons donc nous concentrer sur les autorisations les plus sensibles du système.

Les points suivants sont donc, selon moi, les plus sensibles pour votre vie privée et l’intimité de vos données, n’hésitez pas à commenter au besoin.

Le groupe d’autorisation « Identité », « Localisation », « Photos / Médias / Fichiers » et « SMS » me semblent déjà un bon début pour faire attention

Côté Identité, pour faire très bref, une application pourra disposer des droits suivants :

• Rechercher des comptes sur l’appareil
• Lire votre fiche de contact (nom et coordonnées)
• Modifier votre fiche de contact
• Ajouter ou supprimer des comptes

Côté Localisation

• Accéder à la localisation approximative
• Accéder à la localisation précise
• Accéder à la localisation par le fournisseur
• Créer des points de localisation fictifs

Vous l’aurez compris, c’est la même pour la suite : il sera ainsi possible d’accéder aux photos, médias et fichiers, de les modifier via une autre autorisation, de les supprimer via une autre et ainsi de suite.

Il en va de même pour les SMS, qui peuvent être lus via une autorisation, envoyés à votre insu via une autre, payants via une énième, transmis et ainsi de suite … la liste est plus longue sur la partie SMS d’ailleurs.

Je n’ai pas réussi à remettre la main sur une adresse qui facilite grandement la lecture des autorisations, j’éditerai le billet dès que ça sera corrigé.

Je vais essayer, maintenant, d’être un peu plus parlant.

Vous disposez d’une application qui utilise une autorisation du groupe « Camera ». A l’époque, vous avez autorisé cette application parce qu’elle prend des photos, c’était d’ailleurs la seule autorisation requise dans ce groupe. Parfait, une application qui me donne confiance, c’est moi qui décide de l’utilisation de l’appareil.

Seulement, depuis cette mise à jour dont nous parlions au précédent billet, il n’y a plus de notifications d’une nouvelle autorisation requise si cette dernière fait partie d’un groupe d’autorisation déjà présent.

Revenons à notre cas pratique. Votre application doit être mise à jour, vous faites confiance à cette dernière et votre appareil vous dit qu’aucune autorisation supplémentaire n’est requise, pourquoi s’inquiéter…

Et c’est ainsi que vous donnez à votre application le contrôle total de la caméra, le droit de l’utiliser sans prévenir, de prendre des photos, de transmettre les clichés, de prendre des enregistrements sonores, à nouveau sans vous prévenir, bref, de doper l’espion déjà bien costaud qui est dans votre main.

Voilà, pour rejoindre l’explication du premier billet, le résultat de cette mise à jour. Le constat est assez dramatique, je trouve, et très visible là : perte de visibilité, de pouvoir, de sécurité pour l’utilisateur.

Google répondra qu’il est possible d’aller voir dans le détail de chaque application, sauf que nous sommes, au doigt mouillé, moins de 5% à systématiquement vérifier scrupuleusement une application, non ?

Google n’est pas sans le savoir, leur choix représente donc pour moi une très mauvaise nouvelle.

Puis, comme expliqué dans le précédent billet, ne pas mettre à jour son application représente un danger, puisque cela revient à s’exposer à d’éventuelles failles.

On peut également se dire qu’en soi, les développeurs savent ce qu’ils font, qu’ils n’abusent pas avec les autorisations, mais ça serait une grosse erreur.

Démonstration :

Est-ce que quelqu’un peut m’expliquer pourquoi une application où il faut faire glisser des chiffres vers une direction doit accéder à mes fichiers ?

Vous seriez surpris, peut-être, de savoir que les Angry Birds peuvent accéder à votre position approximative, que des écrans de veille ont le droit d’envoyer des SMS payants et j’en passe encore.

On peut, enfin, se dire qu’il faut régler ces autorisations, et je suis parfaitement d’accord avec vous. Seulement, ce n’est pas si simple que ça, Android ne vous laisse pas modifier ses autorisations « comme ça », et ça sera l’objet d’un dernier billet.

Alors, vous avez une application un peu trop gourmande ? Pour ceux qui n’ont pas trouvé où cela se situe, c’est du côté de « Paramètres », puis « Applications », il faut choisir une application, et en bas, vous aurez « Autorisations ».

Suite et fin au prochain billet.