Description

Ce guide a pour but de fournir des informations basiques au plus grand nombre sur la sécurité de leur appareil Android et sur l'intérêt de télécharger ou non des applications sur le Google Play Store. Et oui, quand on télécharge une nouvelle application, on a une pop-up sur les permissions demandées par l'application. En appuyant sur "Accepter", on les accepte toutes. Si vous ne connaissez pas cette pop-up c'est que vous êtes un cliqueur compulsif  

Le contexte :
La première chose à savoir sur la sécurité de votre téléphone (ou tablette) c'est que Android est une version "légère" de Linux avec une grosse partie d'applications écrites en Java.

Ceci est important à savoir car cela veut dire que Android n'est pas un "aspirateur à virus". En effet, ceci est dû à Linux qui est un système opérationnel très bien sécurisé qui protège diverses parties de son système. Par défaut, les applications téléchargées n'ont aucune permissions, vous devez en accorder pour chaque activité réclamée par les applications pour qu'elles puissent fonctionner correctement.

Même si Android n'est pas un nid à virus, cela ne veut pas dire que le danger est nul. Des programmes malicieux, des spywares et autres programmes à risques sont possibles et ont d'ailleurs déjà fait leurs preuves.


L'intérêt d'un Anti-virus :
L'efficacité des applications d'anti-virus est un sujet controversé. Le "pour" et le "contre" ont chacun des arguments qui se tiennent donc on va essayer de présenter les 2 côtés.

• Avanatges : il vous protégèra des menaces passées déjà connues / il peut éventuellement vous protégrer contre des risques futurs / des fonctions complémentaires pour la protection de données et de la vie privée peuvent être disponibles / des fonctionnalités éventuelles en cas de perte ou de vol de votre appareil
  
• Inconvénients : utilisation plus ou moins importante des ressources système comme la mémoire et la batterie / difficile de se protégrer contre des menaces futures ou inconnues / peut potentiellement endommager sérieusement l'OS (rare mais pas impossible) / peut donner un sentiment de fausse sécurité et encourage la prise de risques
  

Types de programmes dangereux

Les menaces les plus répandues des applications Android sont :
1/ quand une application trompe l'utilisateur qui demande des permissions qui ne sont normalement pas requises pour son bon fonctionnement
2/ quand une application cache un code malicieux derrière des permissions légitimes
3/ quand une application dupe l'utilisateur lui demandant de saisir des données personnelles ou sensibles comme un numéro de carte de crédit.

Il existe différents outils pour un développeur d'accomplir son but. On va rapidement reprendre quelques termes pour que ce soit clair...

• MALWARE : c'est un terme global utilisé pour décrire n'importe quel programme nuisible. Ceci inclut donc les spywares (logiciels espion), virus, arnaques sous forme de phising. Parfois, l'ancien terme "virus" est utilisé dans ce contexte mais le malware est aujourd'hui un terme plus exact.
  
• SPYWARE : utilisé pour décrire un logiciel ou une application qui lit vos données sans que vous le sachiez et qui va reporter ces informations à une entité tierce pour des fins malicieuses. Ceci inclut souvent l'historique de ce que vous tapez sur votre clavier pour voler vos mots de passe et les codes de votre carte de crédit. Des personnes incluent certains trackeurs de publicité.
  
• PHISHING : Le Phishing et le Spyware sont étroitement liés. Ils fonctionnent de la même manière : duper l'utilisateur et envoyer des informations à une entité tierce pour le voler. La différence du phishing c'est que l'application (ou le site web) se fait passer pour une source fiable et vous donnant confiance pour accepter la saisie de données sensibles. A contrario, le spyware va plutôt chercher à se cache pour récupérer les données de l'utilisateur. Un cas d'école est un faux site de votre banque avec logo, slogan, page d'accueil... Tout ça identique à votre vraie banque sauf que c'est pas le cas.
  
• VIRUS : le terme Virus est un terme universel et très global. Aujourd'hui, ce mot a été remplacé par malware. Le terme "virus" est typiquement utilisé pour décrire un genre spécifique de logiciel qui prend contrôle de votre système opérationnel et peut provoquer certains dommages ou alors il va l'utiliser pour ses propres fins. Exemple, un virus va envoyer un e-mail à toute votre liste de contacts. Encore une fois, ce genre de problème ne concerne pas vraiment Android.
  
• CHEVAL DE TROIE (TROJAN) : c'est un type spécifique de virus. Il se cache derrière une application jugée utile ou amusante par l'utilisateur alors qu'en fait elle va endommager ou voler des données. Ce terme est également utilisé pour décrire un spyware ou des attaques de phishing.
  
• ADWARE : ce type d'application va souvent afficher tout un tas de publicités à l'utilisateur en l'échange de services d'une qualité douteuse. En revanche, ce type de programme peut aussi être jugé comme légitime car la publicité est une source de revenus pour des développeurs. C'est parfois l'emplacement, le contenu et la quantité qui permettent de savoir dans la catégorie on se trouve.
  

Comment se protéger ?

Comme certains le savent, l'une des meilleures protections au monde et 100% gratuit c'est vous ! Vous devez avoir de bons réflexes et ne pas faire n'importe quoi. Après des années d'expérience, voici quelques conseils que je vous donne en tant que développeur professionnel de logiciels.

• LISER LES COMMENTAIRES SUR GOOGLE PLAY : cela va sans dire. Avant de télécharger n'importe quelle application, lisez les commentaires ! Mais pas seulement les 3 premiers, regardez dans le détail ce que les gens disent. Cela peut vous aider à savoir comment une application fonctionne sur votre appareil ou votre version Android. Ces commentaires doivent également être lues A CHAQUE FOIS que vous avez une mise à jour.
  A savoir qu'il existe des applications qui permettent parfois de poster de faux commentaires et de mettre des évaluations bidons. Elles permettent de poster des milliers de faux commentaires pour plusieurs applications et elles postent généralement des commentaires positifs.
  
• REGARDER L'EVALUATION : N'importe quelle application ayant moins de 2,5 étoiles ne mérite pas que l'on passe du temps dessus. Ceci est un principe contestablement sur les nouvelles applications bien sûr mais toutes les grosses applications connues qui tournent bien sont entre 3 et 5 étoiles.
  
• VERIFIER LES PERMISSIONS : une application est en mesure de faire beaucoup de choses. Mais tout ce qu'elle peut faire est afficher dans les permissions avant que vous ne l'installiez. Alors : lisez ces permissions ! Et faites de votre mieux pour les comprendre. Prenons l'exemple d'un jeu de dames, si vous voyez que l'application demande une permission pour lire vos contacts, réfléchissez à deux fois avant de l'installer et passer sans doute votre chemin.
  
• VERIFIER LE SITE WEB DU DEVELOPPEUR : assurez-vous que le développeur ait bien un site web et pas seulement un petit blog. Un bon et beau site web est souvent signe de qualité. Regardez par exemple le site du clavier Swiftkey.  Si un développeur prend soin de son application, il va aussi faire en sorte d'avoir une certaine attractivité sur son site. Si l'application est open-source, vous avez accès au Code Google, à noter que les sites sur le code Google ne sont PAS vérifiés ni approuvés par Google. Cependant, même si c'est pas toujours le cas, l'open source est généralement un bon indicateur de sécurité pour une application.
  
• METTEZ A JOUR VOS APPLICATIONS COMME SI C'ETAIT LA PREMIERE FOIS QUE VOUS L'INSTALLIEZ : Chaque fois que vous mettez à jour une application sur votre téléphone, vous devez être autant vigilant que pour une première installation. Relisez les permissions car elles peuvent changer. Si lors d'une mise à jour, vous voyez le message Mise à jour (manuel) à côté, cela veut dire que le développeur a changé les permissions. Ce n'est pas forcément une mauvaise chose mais cela vous invite à porter une attention toute particulière à cette mise à jour.
  

Vie privée

WiFi : l'une des choses à vous rappeler pour vous protéger est d'être prudent avec le WiFi public. Lorsque vous vous connectez à Internet via un WiFi public, vous ne devez jamais utiliser un site web qui requiert un mot de passe. Le danger c'est que vous ne savez pas qui vous connecte au site web. Si l'on voudrait imager cela, c'est comme si vous essayiez d'envoyer un courrier à un ami en la transmettant à un étranger dans la rue.
Il y aussi le risque que des applications transmettent des données en arrière-plan via cette connexion WiFi sans les crypter. Renseignez-vous pour assurer une totale protection avant d'utiliser vos WiFi publics.

Cartes SD : en toute logique, vous savez certainement que ce ne sont pas des espaces de stockage fiables pour enregistrer des informations personnelles.
Pourquoi ? Tout simplement car n'importe quelle application peut lire tous les fichiers contenus sur votre sdcard. La plupart des informations personnelles comme les contacts sont stockés en interne dans des bases de données protégées par contre donc cela ne devrait pas beaucoup vous inquiéter mais c'est toujours bon de garder cette info en tête.

GPS et la localisation réseau : le fait de vous laisser "tracker" a forcément des conséquences non ? Cependant il existe des tas de fonctionnalités pratiques que les applications peuvent fournir via le suivi de votre localisaiton. Vous devez donc considérer cette "menace" avec prudence et d'accorder cette permissions uniquement aux applications fiables. Google est un boulimique de ce genre d'informations et Google Maps est le parfait exemple d'une application qui a besoin de cette permission et qui est considérée comme non nuisible (dans le sens risqué du terme).

Publicité et suivi de votre localisation : certains publicitaires aiment avoir votre localisation pour vous afficher des pubs de proximité comme des bons de réduction sur des magasins relativement près de votre position. En échange de ces pubs, vous pouvez utiliser une application gratuitement. A vous de voir si ces publicités vous vont ou si vous préférez vous passer de cette application.

Permissions : lorsque vous installez une application sur le Google Play Store, on vous affichera quelles permissions sont demandées par cette application avant de valider le téléchargement et l'installation de cette dernière. Certaines permissions sont importantes à lire et à comprendre pour avoir une idée de l'application et aussi savoir si l'application en demande trop ou pas.

Autres infos

Informations partiellement issues de ce superbe guide de Diablo67
Man-in-the-middle attack

---

Dernière édition par Primokorn le Lun 14 Sep 2015 - 16:25, édité 3 fois

Description sur les permissions Android

Phone_Calls
Description officielle (traduite à chaque fois  ) : Permettre à une application d'initialiser un appel téléphone sans passer par l'interface utilisateur du Dialer pour confirmer le déclenchement de l'appel.
Détails : cette permissions a une haute importance. Elle permet à l'application d'appeler des numéros surtaxés. Cependant, ceci n'est pas un moyen répandu pour tromper les gens. Des applications légitimes utilisent cette permission comme Google Voice ou Google Maps.
Autre point important, n'importe quelle application peut lancher l'écran du téléphone et pré-remplir un numéro à votre place. Néanmoins, pour que l'appel soit possible, vous devez intervenir en appuyant sur le bouton "Appel" ou "Envoi". La différence avec cette permission c'est qu'une permission peut gérer automatiquement le processus d'un bout à l'autre et ce, de manière cachée.


Envoyer des SMS ou MMS : des services qui coûtent de l'argent.
Habituellement utilisée par des applications légitimes. Les applications qui ont normalement besoin de cette permission sont des applis pour l'appareil photo, audio/vidéo et documents (mais pas que).


Description officielle : Permettre à une application de lire les données utilisateur des contacts
Details : cette permission a une haute importance. Sauf si une application déclare explicitement une fonctionnalité spécifique qui nécessite la consultation de votre liste de contacts, il n'y a aucune raison d'accorder cette permissions à une application. Les exceptions légitimes sont les applications de frappe ou de prises de note, les Dialers, les applications alternatives de SMS/contacts et les applications de réseaux sociaux. Certaines peuvent avoir besoin de cette application pour aider la suggestion de mots lorsque vous tapez.

Ecrire les données de contact
Outils de développement / Vos informations personnelles
URI : android.permission.WRITE_CONTACTS
Risque : Modéré - Elevé
Niveau de protection : DANGEREUX


Description officielle : permettre à une application d'écrire (mais pas de lire) les données utilisateur des contacts
Détails : cette permission a une haute importance également. Sauf si une application déclare explicitement une fonctionnalité spécifique qui nécessite la consultation de votre liste de contacts, il n'y a aucune raison d'accorder cette permissions à une application. Les exceptions légitimes sont les applications de frappe ou de prises de note, les Dialers, les applications alternatives de SMS/contacts et les applications de réseaux sociaux. Certaines peuvent avoir besoin de cette application pour aider la suggestion de mots lorsque vous tapez.

Lire les données du calendrier
Outils de développement / Vos données personnelles
URI : android.permission.READ_CALENDAR
Risque : Moyen
Niveau de protection : DANGEREUX


Description officielle : permettre à une application de lire les données utilisateur du calendrier.
Détails : importance moyenne à haute. Alors que la plupart des gens considèrent leurs informations de calendrier moins importantes que leur liste de contacts et amis, cette permission devrait être traitée avec précaution. De plus, il est bon de noter que les évènements du calendrier peuvent contenir et contiennent souvent des informations de contact.

Ecrire les données sur le calendrier
Outils de développement / Vos données personnelles
URI : android.permission.WRITE_CALENDAR
Risque : Moyen
Niveau de protection : DANGEREUX

Description officielle : permettre à une application d'écrire (et pas de lire) les données utilisateur du calendrier
Détails : importance moyenne à haute. Alors que la plupart des gens considèrent leurs informations de calendrier moins importantes que leur liste de contacts et amis, cette permission devrait être traitée avec précaution. De plus, il est bon de noter que les évènements du calendrier peuvent contenir et contiennent souvent des informations de contact.

Lire l'historique et les marque-pages du navigateur
Outils de développement / Vos données personnelles
URI : com.android.browser.permission.READ_HISTORY_BOOKMA RKS
Risque : Moyen à Elevé
Niveau de protection : DANGEREUX

Description officielle : permettre à une application de lire (et pas d'écrire) l'historique et les marque-pages utilisateur du navigateur.
Détails : importance moyenne à élevée. Les habitudes de navigation sont souvent trackées via les PCs mais avec cette permission vous donnez accès à bien plus que la consulation de vos habitudes de surf. Il y a aussi des usages légitimes pour cette permission comme les applications qui synchronisent et/ou sauvegardent vos données ainsi que certaines applications sociales.


Ecrire l'historique et les marque-pages du navigateur
Outils de développement / Vos données personnelles
URI : com.android.browser.permission.WRITE_HISTORY_BOOKM ARKS
Risque : Moyen à Elevé
Niveau de protection : DANGEREUX

Description officielle : permettre à une application d'écrire (et pas de lire) l'historique et les marque-pages utilisateur du navigateur.
Détails : importance moyenne à élevée. Les habitudes de navigation sont souvent trackées via les PCs mais avec cette permission vous donnez accès à bien plus que l'écrire de vos habitudes de surf. Il y a aussi des usages légitimes pour cette permission comme les applications qui synchronisent et/ou sauvegardent vos données ainsi que certaines applications sociales.


Lire les logs sensibles
Outils de développement / Vos données personnelles
URI : android.permission.READ_LOGS
Risque : TRES ELEVE
Niveau de protection : Développement

Description officielle : permettre à une application de lire les fichiers log système de bas niveau.
Détails : haute importance. Ceci permet à l'application de lire ce que n'importe quelle autre application a stocké dans son historique.


Ecrire les paramètres globaux système
Contrôles matériels
URI : android.permission.WRITE_SETTINGS
Risque : Moyen
Niveau de protection : Dangereux

Description officielle : permettre à une application de lire ou d'écrire les paramètres système
Détails : cette permission est assez important mais n'a des impacts que modérés. Les paramètres globaux ne représentent pas grand chose. Ils correspodent aux menus dans "Paramètres système". Cependant, bon nombre de ces paramètres sont parfaitement modifiables de manière justifiée par une application. Les applications classiques qui utilisent ces paramètres globaux sont par exemple : les widgets de contrôle du volume, les widgets de notifications, les widgets de paramètres, les utilitaires WiFi ou GPS... La plupart des applications légitimes qui requièrent cette permission sont rentrent dans la catégorie de "widget" ou "d'utilitaire".


Lire les paramètres de synchronisation
Contrôles matériels
URI : android.permission.READ_SYNC_SETTINGS
Risque : faible à modéré
Niveau de protection : Inconnu

Description officielle : permettre à une application de lire les paramètres de synchronisation
Détails :importance faible à élevée. Cela permet généralement à l'application de savoir si vous avez des synchronisations de données en arrière-plan (comme Facebook ou Gmail) et si elles sont activées ou non.


Lancement automatique au démarrage
Contrôles matériels
URI : android.permission.RECEIVE_BOOT_COMPLETED
Risque : modéré à élevé
Niveau de protection : Inconnu

Description officielle : permettre à une application de recevoir le ACTION_BOOT_COMPLETED qui est exécuté une fois que le démarrage du système est terminé.
Détails : Cela permet à une application de dire à Android de lancer une application à chaque fois que vous allumez votre téléphone. Bien qu'il n'y ait pas de danger particulier, cela permet de bien cerner les intentions d'une application.


Redémarrer d'autres applications
Contrôles matériels
URI : android.permission.RESTART_PACKAGES
Risque : élevé
Niveau de protection : Inconnu

Description officielle : Ceci est obsolète. Cet API restartPackage(String) n'est plus supporté.
Détails : importance faible à modérée. Cela permet à une application de dire à Android de "tuer" le processus d'une autre application. Cependant, n'importe quelle application qui est tuée va probablement être relancée par l'OS Android lui-même.


Extraire les applications en-cours
Contrôles matériels
URI : android.permission.GET_TASKS
Risque : Moyen à Elevé
Niveau de protection : Dangerous

Description officielle : permettre à une application d'obtenir des informations sur tâches lancées en-cours ou récentes : une vignette de représentation de ces tâches, quelles activités sont lancées,...
Détails : importance modérée. Ceci permet à une application de trouver quelles autres applications sont exécutées sur le téléphone. Bien que ce ne soit pas un dangereux en soit, c'est un outil utile pour quelqu'un qui chercherait à voler vos données. Les applications classiques légitimes à cette permission sont : les tueurs de tâches, les widgets de surveillance de la batterie. Dans les autres cas, aucune application n'a besoin de cette permission.


Afficher les alertes de niveau système
Contrôles matériels
URI : android.permission.SYSTEM_ALERT_WINDOW
Risque : Elevé
Niveau de protection : Dangereux

Description officielle : permettre à une application d'ouvrir les fenêtres utilisant le TYPE_SYSTEM_ALERT, affiché en avant de toutes les autres applications.
Détails : importance élevée. Cette permission permet à une application d'affichier une popup par-dessus toutes les autres même si l'application n'est pas au premier plan. Un publicitaire ou développeur malicieux peut l'utiliser pour afficher du contenu offensant. Presque aucune application devrait avoir besoin de cette permission sauf si elle fait partie du système opérationnel Android.
Exemple d'une alerte système : quand vous n'avez presque plus de batterie et que votre appareil va s'éteindre.


Contrôle du vibreur
Outils de développement
URI : android.permission.VIBRATE
Risque : Faible
Niveau de protection : Inconnu

Description officielle : permettre l'accès au vibreur.
Détails : importance faible. Comme son nom l'indique, elle permet à l'application de contrôler la fonction Vibreur de votre téléphone. Ceci vaut pour les appels entrants ou d'autres évènements.


Prendre des photos ou des vidéos
Outils de développement
URI : android.permission.CAMERA
Risque : Modéré à Elevé
Niveau de protection : Dangereux

Description officielle : requis pour avoir accès à l'appariel photo de l'appareil
Détails : importance moyenne. Théoriquement, cette permission peut aussi servir à la prise de photos non désirées par l'utilisateur mais pas vraiment constaté dans les faits à ce jour. Sachez toujours que cela n'est pas impossible pour un développeur mal intentionné.


Accès aux commandes complémentaires de localisation
Communication Réseau
URI : android.permission.ACCESS_LOCATION_EXTRA_COMMANDS
Risque : Moyen à Elevé
Niveau de protection : Inconnu

Description officielle : permettre à une application d'avoir accès au fournisseur de commandes complémentaires de localisation
Détails : les particularités des commandes complémentaires ne sont pas claires. Cependant, l'utilisation de cette permission indique qu'une application des informations détaillées sur votre position et agit en conséquence. Elle est donc utilisée par des services de publicité, de localisation ou les réseaux sociaux comme Four Square, Twitter, Facebook ou Google +. Gérer cette permission comme celle pour le GPS.


Accès à une fausse localisation
Communication Réseau
URI : android.permission.ACCESS_MOCK_LOCATION
Risque : Modéré
Niveau de protection : Dangereux

Description officielle : permettre à une application de créer des fournisseurs de fausses localisation pour des tests
Détails : c'est une permission utilisée pour le développement d'applications qui utilisent les services de localisation. En créant de fausses localisations, les applications peuvent faire des tests et voir si leur code fonctionne correctement selon la position de l'utilisateur.


Statistiques de la batterie
Contrôles matériels
URI : android.permission.BATTERY_STATS
Risque : faible
Niveau de protection : Inconnu

Description officielle : permettre à une application de collecter les statistiques de la batterie
Détails : cette permission n'a aucune importance.


Administration du bluetooth
Vos comptes
URI : android.permission.BLUETOOTH_ADMIN
Risque : Moyen
Niveau de protection : Dangereux

Description officielle : permettre à une application de rechercher et d'appairer des appareils bluetooth
Détails : Le bluetooth est une technologie qui permet au téléphone de communiquer sans fil avec de courtes portées. Cela est similaire au WiFi dans bien des sens. En lui-même, ce n'est pas un danger pour votre téléphone mais cela rend possible pour une application d'envoyer ou de recevoir des données d'autres appareils. Les applications typiques ayant besoin de cette permission sont les applications de partage, de transferts de fichiers ou les applications qui se connectent aux écouteurs ou à des haut-parleurs sans fils.


Broadcast Sticky (Intents)
Contrôles matériels
URI : android.permission.BROADCAST_STICKY
Risque : faible à modéré
Niveau de protection : Inconnu

Description officielle : il y a des transmissions dont les données sont bloquées par le système après avoir terminées pour que les clients puissent rapidement les récupérer sans avoir besoin d'attendre une nouvelle transmission.
Détails : La permission veut savoir comment les applications "parlent" entre elles en utilisant la méthode de communication "Intents". Alors que cette permission est très technique, elle n'a que peu d'importance. Aucune utilisation malicieuse connue pour le moment.


Modifier la configuration
Contrôles matériels
URI : android.permission.CHANGE_CONFIGURATION
Risque : moyen à élevé
Niveau de protection : Dangereux

Description officielle : permettre à une application de modifier la configuration actuelle comme le lieu.
Détails : c'est une permission qui ne faut généralement pas accordés aux applications classiques. Mis à part le fait de changer le lieu (et donc la langue), rien n'est pas clair sur le fait de savoir quelles configurations sont potentiellement modifiables via cette permission. Ne l'accordez pas si vous avez un doute.


Effacer le cache de l'application
Contrôles matériels
URI : android.permission.CLEAR_APP_CACHE
Risque : Faible
Niveau de protection : Dangereux

Description officielle : permettre à une application d'effacer les caches de toutes les applications installées sur l'appareil.
Détails : faible importance. Le fait d'effacer le cache peut parfois (mais très rarement) corriger des bugs liés à ces fichiers. Effacer ces fichiers ne représentent généralement aucun risque autre que le fait de réduire les performances de l'appareil, car les applications vont devoir re-créer leur cache.


Désactiver le verrouillage des touches (écran de verrouillage)
(non classé)
URI : android.permission.DISABLE_KEYGUARD
Risque : moyen à élevé
Niveau de protection : Dangereux

Description officielle : permettre à une application de désactiver le verrouillage des touches
Détails : importance moyenne à élevée. Cela permet à une application de désactiver l'écran de verrouillage, écran où vont la plupart des téléphones après être entrés en mode dormant. Cet écran peut parfois être un écran avec un mot de passe, un code PIN ou un "glisser pour déverrouiller".


Barre d'état étendue
Contrôles matériels
URI : android.permission.EXPAND_STATUS_BAR
Risque : Moyen à Elevé
Niveau de protection : Inconnu

Description officielle : permettre à une application d'étendre ou de replier la barre d'état
Détails : ceci apparaît comme une permission système. Ne doit pas être utilisée par une application lamnda. Soyez vigilant si vous tombez sur une application demandant cette permission...


Torche
Outils de développement
URI : android.permission.FLASHLIGHT
Risque : faible
Niveau de protection : Inconnu

Description officielle : permettre à une appplication d'accéder à la Torche.
Détails : L'application peut allumer ou éteindre la LED (la torche) de l'appareil photo. Aucun risque particulier.


Obtenir la taille d'un package
Contrôles matériels
URI : android.permission.GET_PACKAGE_SIZE
Risque : faible à moyen
Niveau de protection : Inconnu

Description officielle : permettre à une appplication de connaître l'espace utilisé par n'importe quel package
Détails : aucun risque lié connu.


Tuer les processus d'arrière-plan
Contrôles matériels
URI : android.permission.KILL_BACKGROUND_PROCESSES
Risque : Elevé
Niveau de protection : Inconnu

Description officielle : permettre à une appplication d'appeler killBackgroundProcesses(String).
Détails : cette permission est assez délicate. Elle est particulièrement utilisée par les "tueurs de tâches". Ces applications sont supposées libérer des ressources système en fermant des applications tournant en l'arrière-plan. Cependant l'utilisation de telles applications est contestable. Elles peuvent aider à fermer une application qui fonctionne mal, même si l'utilisateur peut déjà le faire via les paramètres Android par défaut. Inversement cette permission a des risques potentiels via les applications malicieuses d'antivirus et autres sécurités. Seulement quelques utilisateurs ont du rencontrer cette permission.
En gros, si vous avez une application qui demande cette permission, passez votre chemin, surtout si ce n'est pas une application "tueur de tâches" ou une application d'optimisation de performance système.


Modifier les paramètres audio
Contrôles matériels
URI : android.permission.MODIFY_AUDIO_SETTINGS
Risque : faible
Niveau de protection : Dangereux

Description officielle : permettre à une appplication de modifier les paramètres globaux du son
Détails : faible importable. Aucun risque pour l'appareil.


Formater les fichiers système
Vos informations personnelles
URI : android.permission.MOUNT_FORMAT_FILESYSTEMS
Risque : Moyen
Niveau de protection : Dangereux

Description officielle : permettre le formatage des fichiers système d'un stockage amovible.
Détails : Le premier danger de cette permission c'est qu'elle peut être utilisée pour effacer les données depuis une carte SD ou un autre stockage similaire dans votre téléphone. Normalement, une application n'a pas besoin de cette permission.


Monter / Démonter les fichiers système
Vos données personnelles
URI : android.permission.MOUNT_UNMOUNT_FILESYSTEMS
Risque : Moyen
Niveau de protection : Dangereux

Description officielle : permettre le montage et le démontage des fichiers système d'un stockage amovible.
Détails : Permet la connexion de carte SD pour lecture et écriture. Bien que ce ne soit pas un risque en soit, ce n'est pas une permission légitime pour une application lambda.


NFC (Near Field Communication)
Vos comptes
URI: android.permission.NFC
Risque : Moyen
Niveau de protection : Dangereux

Description officielle : permettre à une application d'effectuer des opérations I/O en NFC.
Détails : Technologie permettant une communication à très courte portée (quelques centimètres) entre 2 appareils compatibles ou de lire des "tags" NFC.
De part la distance requise, aucun danger n'est à signaler sur cette permission mais elle permet néanmoins de communiquer avec l'extérieur donc la prudence reste de mise.

Dernière édition par Primokorn le Mar 11 Mar 2014 - 8:32, édité 2 fois

Processus d'appels sortants
Votre position
URI: android.permission.PROCESS_OUTGOING_CALLS
Risque : Très élevé
Niveau de protection : Dangereux

Description officielle : permettre à une application de surveiller, modifier ou interrompre les appels sortants.
Détails : Forte importance. Ceci permettrait à une application de voir quels numéros sont appelés ainsi que d'autres informations personnelles. Généralement cette permission doit uniquement être accessible au VOIP (Voice Over Internet Protocol) comme Google Voice ou les applications alternatives pour le Dialer.


Lire les statistiques de synchronisation
Contrôles matériels
URI: android.permission.READ_SYNC_STATS
Risque : Moyen
Niveau de protection : Inconnu

Description officielle : permettre à une application de consulter les statisitiques de synchronisation
Détails : cette permission est liée à "Lire les paramètres de synchronisation" mais n'est pas dangereux en soit. Il y a un risque mineur que certaines informations personnelles soient collectées depuis les statistiques de synchronisation, mais l'information n'a probablement aucune valeur. La synchronisation dans ce cas correspond au fait de synchroniser les contacts et d'autres types de média sur son appareil.


Enregistrer le son
Outils de développement
URI: android.permission.RECORD_AUDIO
Risque : Moyen à Elevé
Niveau de protection : Dangereux

Description officielle : permettre à une application d'enregistrer le son.
Détails : bien que cette permission ne soit pas dangereuse, c'est un outil possible de surveillance auditive. Cependant le fait d'enregistrer le son est justifié sur plusieurs applications comme celles pour la prise de note ou de recherche vocale.



Définir l'alarme
Contrôles matériels
URI: android.permission.SET_ALARM
Risque : Faible
Niveau de protection : Iconnu

Description officielle : permettre à une application de transmettre une information pour définir l'alarme pour un utilisateur.
Détails : permission ayant un faible risque car elle ne permet pas de paramétrer l'alarme directement. Cependant, elle permet néanmoins l'ouverture de l'application d'alarme.


Définir le fuseau horaire
Contrôles matériels
URI: android.permission.SET_TIME_ZONE
Risque : Faible
Niveau de protection : Dangereux

Description officielle : permettre à une application de définir le fuseau horaire.
Détails : permission ayant peu voir aucun risque


Définir le fond d'écran
Contrôles matériels
URI: android.permission.SET_WALLPAPER
Risque : Faible
Niveau de protection : Inconnu

Description officielle : permettre à une application de définir le fond d'écran.
Détails : permission ayant peu voir aucun risque


Lire les flux souscris
Outils de développement / Vos données personnelles
URI: android.permission.SUBSCRIBED_FEEDS_READ
Risque : Moyen
Niveau de protection : Inconnu

Description officielle : permettre à une application d'accéder aux flux souscris ContentProvider.
Détails : Accès aux flux RSS que vous avez souscris. Si vous ne souscrivez à aucun flux RSS, cette permission représente un très faible risque voir aucun. Dans le cas contraire, l'application aura accès à l'historique de votre navigateur et peut ainsi récupérer vos centres d'intérês, préfèrentes et autres informations plus ou moins personnelles.


Ecrire les flux souscris
Outils de développement / Vos données personnelles
URI: android.permission.SUBSCRIBED_FEEDS_WRITE
Risque : Faible à Moyen
Niveau de protection : Dangereux

Description officielle : (aucune documentation de développement disponible pour cette permission)
Détails : Accès aux flux RSS que vous avez souscris. Si vous ne souscrivez à aucun flux RSS, cette permission représente un très faible risque voir aucun. Dans le cas contraire, l'application aura accès à l'historique de votre navigateur et peut ainsi récupérer vos centres d'intérês, préfèrentes et autres informations plus ou moins personnelles.


Utiliser SIP
Vos comptes
URI: android.permission.USE_SIP
Risque : Moyen à Elevé
Niveau de protection : Dangereux

Description officielle : permettre à une application d'utiliser le service SIP
Détails : SIP signifie Session Initiation Protocol. C'est une technologie majoritairement utilisée pour créer des vidéos ou avoir des appels vocaux via Internet. Bien que ce ne soit pas un risque important, elle doit être traitée avec précaution comme la permission pour émettre des appels.


Ecrire des paramètres sécurisés
Contrôles matériels
URI: android.permission.WRITE_SECURE_SETTINGS
Risque : Très élevé
Niveau de protection : Développement

Description officielle : permettre à une application de lire et d'écrire les paramètres système sécurisés.
Détails : cette permission doit uniquement être vue des applications système Android (et éventuellement sur des applications pré-instalées pour le sans fil ou pour le matériel constructeur).


Ecrire des SMS
Services payants
URI: android.permission.WRITE_SMS
Risque : Elevé
Niveau de protection : Dangereux

Description officielle : permettre à une application d'écrire des messages SMS.
Détails : cette permission apparaît comme un lien indissociable de la permission "Envoyer SMS". Elle permet à une application d'écrire, mais pas d'envoyer un message SMS. Les utilisateurs doivent rester prudents sur cette permission. Beacoup de malwares appâtent les utilisateurs pour l'envoi de SMS vers des numéros payants.


Ecrire les paramètres de synchronisation
Vos messages
URI: android.permission.WRITE_SYNC_SETTINGS
Risque : Moyen
Niveau de protection : Dangereux

Description officielle : permettre à une application d'écrire les paramètres de synchronisation.
Détails : cette permission est liée à la sauvegarde et à la synchronisation de certains types d'informations comme les contacts. Une application peut écrire les paramètres sur comment un compte et les données sont synchronisés et sauvegardés.
C'est une permission habituelle pour les services sociaux et les gestionnaires de contacts ou encore les applications étant reliées à un compte. Seule, cette permission ne permet pas à une application d'accéder aux contacts ou à d'autres données sensibles.


Lire le profil
Outils de développement / Vos données personnelles
URI: android.permission.READ_PROFILE
Risque : Moyen à Elevé
Niveau de protection : Dangereux

Description officielle : permettre à une application de lire les données du profil personnel de l'utilisateur.
Détails : c'est une nouvelle permission qui est lié au nouveau contact "Moi" que vous avez sur votre appareil.


Installer un raccourci (Launcher Android)
Contrôles matériels
URI: com.android.launcher.permission.INSTALL_SHORTCUT
Risque : Moyen à Elevé
Niveau de protection : Inconnu

Description officielle : /
Détails : c'est une permission custom pour le launcher Android par défaut (l'écran d'accueil). Cette permission permettrait à une application de placer un icône ou un raccourci dessus. Bien que ce ne soit pas dangereux, ceci peut être perçu comme un signe d'une application malicieuse ou de spams.


Lire le stockage externe
Vos informations personnelles
URI: android.permission.READ_EXTERNAL_STORAGE
Risque : Faible
Niveau de protection : Inconnu

Description officielle : permettre à une aplication de lire depuis un stockage externe.
Détails : Cette permission est accordée par défaut à toutes les applications.


Lire les SMS
Outils système
URI: android.permission.READ_SMS
Risque : Moyen à Elevé
Niveau de protection : Dangereux

Description officielle : /
Détails : cette permission est plus un problème de vie privée. N'importe quelle application peut lire vos messages SMS et donc récupérer un beau petit paquet d'informations sur vous. Cependant certaines sont légitimes sur cette permission comme les applis alternatives d'envoi de SMS (Go SMS, Handcent...). Certaines autres applications requièrement cette permission pour envoyer un code spécial à votre appareil. Ceci peut être utilisé par une applicaition payante en envoyant un code pour débloquer la version complète. Ou encore, ceci est être utilisé par une application de sécurité pour avoir un code de sécurité en cas de vol.


Ecrire le journal d'appels
Votre position
URI: android.permission.WRITE_CALL_LOG
Risque : Moyen à Elevé
Niveau de protection : Dangereux

Description officielle : /
Détails : cette permission n'est pas un danger en soit mais permettrait de masquer des comportements malicieux. Cependant il existe un but légitime pour les Dialers alternatifs ou les applications de voix IP comme Google Voice.


Ecrire le profil
Outils de développement / Vos données personnelles
URI: android.permission.WRITE_PROFILE
Risque : Moyen à Elevé
Niveau de protection : Dangereux

Description officielle : /
Détails : c'est une nouvelle permission qui est lié au contact "Moi".


Lire le flux social
Outils de développement / Vos données personnelles
URI: android.permission.READ_SOCIAL_STREAM
Risque : Elevé
Niveau de protection : Dangereux

Description officielle : /
Détails : cette permission est très importante. C'est une permission qui a été introduite avec Android 4.0 ICS. Elle permet à une application de lire les mises à jour des applications de réseaux sociaux comme Google+, Twitter ou Facebook. En accordant cette permission, vous donnez la possibilité à l'application de lire vos informations mais aussi chaque mise à jour postée par les gens gravitant autour de vos cercles sociaux.



Ajout de la messagerie vocale
Outils systèmes
URI: com.android.voicemail.permission.ADD_VOICEMAIL
Risque : Moyen à Elevé
Niveau de protection : Dangereux

Description officielle : /
Détails : ceci semble être une récente permission liée au nouveau système centralisé Android de messagerie vocale. Certaines applications en ont besoin, vous devriez facilement les identifier.


Comptes authentifiés
Vos messages
URI: android.permission.AUTHENTICATE_ACCOUNTS
Risque : Très élevé
Niveau de protection : Dangereux

Description officielle : /
Détails : importance élevée. Cela permet à une application d'accéder aux certificats authentifiés, comme les mots de passe. Les utilisations classiques : une application qui nécessite l'utilisation de son propre type de compte sur votre téléphone comme Google, Facebook, Twitter... Cette permission est proche de celle du gestionnaire de comptes. Les deux sont typiquement requises pour qu'une application accède à vos informations personnelles ou mots de passe. Cela représente un risque de sécruité pour le phising.


Lire les pièces jointes des e-mails
Outils de développement / Vos données personnelles
URI: com.android.email.permission.READ_ATTACHMENT
Risque : Elevé
Niveau de protection : Dangereux

Description officielle : /
Détails : ceci est une permission custom pour l'application Android E-mail par défaut (pas Gmail). Cette permission doit être traitée avec précaution. Beaucoup de pièces joints d'e-mail contiennent des données sensibles ainsi que des informations personnelles ou financières.


Lire le dictionnaire utilisateur
Outils de développement / Vos données personnelles
URI: android.permission.READ_USER_DICTIONARY
Risque : Faible
Niveau de protection : Dangereux

Description officielle : permettre à une application de lire le dictionnaire de l'utilisateur.
Détails : vous permettez à une application de lire les mots ajoutés dans votre dictionnaire personnalisé. Bien souvent, on retrouve des abréviations lors de la saisie de messages. Néanmoins vous saisissez aussi des données personnelles dans ce dictionnaire, donc cette permission n'est pas sans risques.


Ecrire le dictionnaire utilisateur
Contrôles matériels
URI: android.permission.WRITE_USER_DICTIONARY
Risque : Faible
Niveau de protection : Inconnu

Description officielle : permettre à une application d'écrire le dictionnaire de l'utilisateur.
Détails : vous permettez à une application d'ajouter des mots personnalisés dans votre dictionnaire. Par exemple, vous mettez "MDR" pour "Mort de rire".


Recevoir des SMS
Outils système
URI: android.permission.RECEIVE_SMS
Risque : Elevé
Niveau de protection : Dangereux

Description officielle : permettre à une application de surveiller les messages SMS entrants, de les enregistrer et de déclencher des opérations.
Détails : cette permission est surtout liée à la vie privée. N'importe quelle application peut lire vos SMS. A noter que les applications de messagerie alternatices, comme Handcent, requièrent cette permission pour fonctionner correctement. D'autres applications en ont besoin pour envoyer un code particulier, comme pour déverrouiller la version complète d'une application, etc...


Recevoir des MMS
Outils système
URI: android.permission.RECEIVE_MMS
Risque : Elevé
Niveau de protection : Dangereux

Description officielle : permettre à une application de surveiller les messages MMS entrants, de les enregistrer et de déclencher des opérations.
Détails : cette permission est surtout liée à la vie privée. N'importe quelle application peut lire vos MMS. A noter que les applications de messagerie alternatices, comme Handcent, requièrent cette permission pour fonctionner correctement.


Installation de DRM
Contrôles matériels
URI: android.permission.INSTALL_DRM
Risque : Modéré à Elevé
Niveau de protection : Inconnu

Description officielle : /
Détails : DRM signifie Digital Rights Management. Cette permission n'est pas dangereuse en soit mais elle est liée à des fonctions de contrôle de media comme les livres, sons, vidéos... Soyez particulièrement vigilants si une application vous demande cette permission.


Ajouter un service système
Contrôles matériels
URI: android.permission.ADD_SYSTEM_SERVICE
Risque : Critique
Niveau de protection : Inconnu

Description officielle : /
Détails : cette permission doit uniquement être accordée aux applications système Android (et éventuellement sur des applications pré-instalées pour le sans fil ou pour le matériel constructeur)..


Accéder à l'état WiMax
Vos comptes
URI: android.permission.ACCESS_WIMAX_STATE
Risque : Faible à Moyen
Niveau de protection : Inconnu

Description officielle : /
Détails : WiMax est une technologie développée pour les données 4G et la vitesse d'internet sur les appareils mobiles. Cette permission permet à une application de voir si vous êtes actuellement connecté à un réseau sans fil qui utilise cette technologie. Aucun risque particulier.


Modifier l'état WiMax
Vos comptes
URI: android.permission.CHANGE_WIMAX_STATE
Risque : Moyen
Niveau de protection : Dangereux

Description officielle : /
Détails : permettre à une application d'activer ou de désactiver la radio WiMax. WiMax est une connexion 4G type LTE. Cette permission permet d'activer ou de couper la 4G.


Lire les messages instantanés
Outils de développement / Vos données personnelles
URI: com.android.providers.im.permission.READ_ONLY
Risque : Elevé
Niveau de protection : Inconnu

Description officielle : /
Détails : Lié à la lecture de messages instantanés comme Google Hangouts.


RECEVOIR
(NC)
URI: com.google.android.c2dm.permission.RECEIVE
Risque : Faible
Niveau de protection : Inconnu

Description officielle : /
Détails : C2D signifie Cloud to Device Messaging. C'est une technologie de notification push qui a été progressivement remplacé par une technologie similaire appelée GCM (Google Cloud Messaging). Très peu voir aucun risque.


Facturation In-App
Services qui peuvent être payants
URI: com.android.vending.BILLING
Risque : Critique
Niveau de protection : Inconnu

Description officielle : /
Détails : C2D signifie Cloud to Device Messaging. C'est une technologie de notification push qui a été progressivement remplacé par une technologie similaire appelée GCM (Google Cloud Messaging). Très peu voir aucun risque.

Complément en anglais par contre ICI

Dernière édition par Primokorn le Lun 14 Sep 2015 - 16:24, édité 1 fois

Super taf , merci

 du partage ! Et beau ( gros ) boulot c!!  

Oh Primo ou sir mobileman ca c'est du lourd , merci pour ta missive  

 pour le partage Primo et pour ce super travail  

C'est clair et net, beau travail  

Tout est clair maintenant  
Merci pour vos messages !

Hoooo yeaaah, merci.
Primo, là, c'est du louuuurd. Comme d'hab, un boulot de Tireur d'élite (Pour ne pas dire Snipper )

Un grand bravo  

Très bonne initiative!

++

Très bon tuto, merci ^^
Il manque toutefois le titre de la première autorisation :

Fredoah a écrit:

Très bon tuto, merci ^^
Il manque toutefois le titre de la première autorisation :

Spoiler :

Voilà qui est rajouté. Si quelqu'un peut me donner la traduction FR au passage.
J'ai regardé la permission avec l'appli ExDialer pour info.

La sécurité d'Android

Lectures utiles

Hacking android for fun and profit

Damien Cauquil retrace l'origine du système Android, ses détails techniques et les possibilités offertes par cet OS. Il aborde ainsi différents thèmes comme le reverse-engineering, le cracking et le hacking de terminaux Android. Il démontre comment la sécurité des applications mobiles est similaire à celle en place dans les applications PC des années 1990, et comment faire de ce type de terminal un allié de choix.

Vidéo
Snipper-Ice lien supprimé => pub "déguisée"
Texte
Snipper-Ice lien supprimé => pub "déguisée"

SAlut à toi,

très intéressant comme informations.

   

Penses à utiliser un masque(nom ou phrase) pour les adresses que tu partages qui ne doivent pas apparaitre intégralement     
Merci pour le partage

A bientôt s_Bekir

Oui c'est bien syma, enfin jolie pub...

Complément pour les anglophones ajouté dans le 3e post : autre ressource de permissions.
Vous pouvez entrer le Manifest d'une application ou rechercher une permissions en particulier.

Pour chaque permission, on a une définition ainsi que son rattachement au groupe supérieur.

Exemple :
android.permission.WAKE_LOCK
Empêche le téléphone de "dormir"

Rattachée au groupe android.permission-group.AFFECTS_BATTERY (utilisation de fonctionnalités qui peuvent consommer beaucoup de batterie).

Bien sympa je trouve.

Je vais   cela ...

bonsoir à tous ,
merci Primo. pour ces précieuses infos..et cet énorme taf , chapeau

je pense que la sécurité des terminaux en général est un sujet de plus en plus prisé et qui inquiète quand même l’utilisateur lambda
ce qui est écrit ici est une vraie mine d'or ....à conserver ou(et) à appendre!  ...surtout pour mon ado-de-fille...qui est à quelques années lumières de savoir ce qui ce passe dans sont smartphone

Salut,
Merci pour ton message Il est effectivement judicieux de transmettre de telles valeurs. Comprendre comment fonctionner les nouvelles technologies est de plus en plus important.