Dans l'économie des applications mobiles, ce sont les logiciels qui « consomment » l'utilisateur et non l'inverse. En tout cas, c'est ce que pense l'éditeur en sécurité Zscaler qui a analysé les autorisations demandées, en préalable à tout téléchargement, par de nombreuses apps proposées dans Google Play. Après avoir examiné les 75 000 applications Android les plus populaires de la plate-forme, le consultant a constaté que dans 68 % des cas, l'utilisateur devait accepter l'envoi de messages SMS, une option qui sert essentiellement aux applications pour facturer les utilisateurs. Dans ce groupe, 28 % des apps ont également exigé un accès aux SMS reçus sur le mobile. Or, cette autorisation présente un risque important dans la mesure où elle peut être détournée pour récupérer les codes d'authentification envoyés par les banques en ligne et d'autres services comme Gmail, PayPal et Twitter.

Selon Zscaler, les autorisations les plus demandées, et les plus risquées, couvrent l'accès aux SMS, au GPS, aux appels téléphoniques, la possibilité de lire des informations personnelles sur les comptes et sur le mobile et l'accès au carnet d'adresses. L'éditeur souligne à juste titre que, même les utilisateurs expérimentés autorisent les applications à accéder à ce genre de données, sans quoi, très souvent, l'application ne peut pas être téléchargée. Cette pratique remet en cause le modèle des autorisations en vigueur sur le magasin Android de Google, mais également sur toutes les plates-formes mobiles. Dans son inventaire, Zscaler a également constaté que 36 % des applications avaient accès aux informations de localisation de l'utilisateur, et que 46 % pouvaient connaître l'identité du terminal en récupérant le code IMEI et l'information de la carte SIM, 10 % entraient dans le carnet d'adresses et 4 % pouvaient même accéder à l'agenda.

Un accès trop important aux données personnelles

Certaines raisons peuvent justifier l'intérêt d'une application à accéder à tout ou partie de ces données, et les propres applications de Google ne sont pas les moins intrusives. Cependant, les autorisations requises par un grand nombre d'autres applications répondent à un business model qui consiste à lier l'application offerte gratuitement à l'utilisateur à un réseau publicitaire dont l'objectif est de recueillir le maximum d'informations possibles pour mieux cibler son message. Les demandes d'autorisation d'accès au carnet d'adresses sont souvent utilisées pour justifier certaines fonctionnalités. Ces accès se font parfois avec le consentement de l'utilisateur, mais pas toujours : les plaintes pour détournement de carnet d'adresses sont devenues légion sur certaines applications de messagerie Android, à tel point que Google a été obligé de modifier les termes et les conditions de sa charte développeurs plus tôt cette année. « À l'origine, Android voulait se donner l'image de système rebelle, ouvert et transparent, pour marquer sa différence avec iOS et l'iPhone d'Apple, jugé rigide et restrictif. Actuellement, l'OS de Google a plutôt la réputation discutable de système voyou », a déclaré Zscaler, qui considère ce jugement peut-être un peu sévère.


Zscaler propose un moteur pour tester la curiosité des apps iOS et Android.

Aujourd'hui, l'utilisateur s'attend à ce que les applications obtiennent les autorisations d'accès sur une base volontaire. Pour le moment, cela semble la seule façon objective de considérer le problème à sa juste dimension. Mais, en premier lieu, il faudrait que le système Android lui-même soit débarrassé de certaines vulnérabilités, comme celle découverte par la société allemande Curasec la semaine dernière, qui permettait à une application tournant sur toute version antérieure à Android  4.4.4, alias KitKat, de passer des appels téléphoniques non autorisés.