Nouvelle politique de Google Play, une arme à double tranchant

1 Avr 2019

Il n’y a pas si longtemps, Google Play a introduit une nouvelle exigence pour les applications. Les programmes ne peuvent plus demander l’accès aux appels et messages SMS s’ils peuvent s’en passer. Cette restriction va devenir encore plus stricte puisque d’ici peu, seules les applications destinées à passer des appels et envoyer des messages pourront demander ces autorisations. Pour le moment, il existe encore de nombreuses exceptions à la règle.

Les développeurs avaient jusqu’au 9 mars pour ajuster leurs produits aux nouvelles politiques de Google après qu’elles aient été modifiées. Nous avons étudié pourquoi cette nouvelle exigence est une arme à double tranchant.

Google Play se débarrasse des applications qui demandent l'accès aux appels et messages SMS sans motif légitime. Nous vous expliquons quelles menaces peuvent surgir

 

Trop d’applications avides de données utilisateur

Il est assez facile de vérifier si les applications Android veulent plus de droits que nécessaire pour les opérations normales : jetez un coup d’œil à la liste des autorisations qu’elles vous demandent d’accepter lors de l’installation. Par exemple, pourquoi la boutique en ligne AliExpress a besoin d’enregistrer des fichiers audios ? Ou de consulter votre journal d’appels ?

Exemple d’une application qui demande plus d’autorisations que nécessaire

 

Même les grandes marques abusent parfois des autorisations, et il n’est pas surprenant de voir que les applications d’éditeurs peu ou totalement inconnus sont encore pires. Certaines de ces applications pourraient être malveillantes et utiliser l’accès aux appels et aux messages SMS pour voler des données et de l’argent. Par exemple, si un malware peut envoyer et recevoir des SMS par lui-même, il lui sera facile de vous inscrire à des services payants, ou d’intercepter le message d’un code à usage unique que la banque vous envoie.

Google Play mise sur la sécurité

Selon Google, ces restrictions ont été créées pour protéger la vie privée des utilisateurs. La logique est simple : les développeurs de bonne foi préfèrent laisser de côté les autorisations dont ils n’ont pas besoin plutôt que d’être expulsés d’un logiciel marketplace qui compte des centaines de millions d’utilisateurs. En attendant, les personnes malveillantes qui interceptent les SMS et les logiciels qui espionnent les appels n’ont nulle part où aller, et sont supprimés. Voilà de bonnes nouvelles, n’est-ce pas ? Malheureusement les choses ne sont pas si simples.

Qu’est-ce qui pourrait mal se passer : l’exception devient la règle

Il s’avère qu’en réalité de nombreuses applications ont besoin d’accéder aux appels et messages SMS pour mettre en place de nombreuses fonctions très utiles, comme la vérification du compte, les sauvegardes, la synchronisation des appels et des messages entre plusieurs appareil, le blocage des spams, et bien d’autres.

Pour ne pas blesser les développeurs légitimes et empêcher les utilisateurs d’avoir des outils particulièrement utiles, la politique actuelle de Google Play accepte quelques exceptions et permettent, dans de nombreux cas, aux applications de demander ces autorisations si convoitées aux utilisateurs. L’inconvénient est que les cybercriminels peuvent aussi contourner cette interdiction en équipant leurs applications d’une fonction qui figure sur liste blanche. Il est donc peu probable que Google Play arrive à se débarrasser de toutes les applications qui espionnent les appels et messages SMS : les applications lampe de poche malveillantes vont tout simplement être remplacées par des bloqueurs d’appels qui sont des spams.

Quoi d’autre ? Les malwares ne seraient pas les seuls bannis

Un autre problème pourrait surgir : Google Play va mettre les applications suspectes à la porte, mais aussi celles qui sont de bonne foi et utiles. La plupart des développeurs ont sûrement consulté la liste des autorisations requises sans plus attendre. Il est toutefois probable que certaines personnes, pour quelque raison que ce soit, n’aient pas pu, ou aient choisi de ne pas le faire, et aient préféré partir. C’est déjà arrivé. Par exemple, les auteurs du jeu incroyablement populaire Fortnite, n’étaient pas satisfaits par les conditions de Google Play, et ont décidé de faire sans.

Le départ de développeurs légitimes n’est pas une bonne nouvelle pour les utilisateurs. Tout d’abord, les utilisateurs vont probablement chercher ailleurs les applications qui ne sont pas disponibles sur la boutique officielle Google, ce qui augmente le risque d’installer une fausse application. Ensuite, la plupart des utilisateurs qui ne passent pas le filtre de Google Play vont se diriger vers des sites ayant des exigences de sécurité moins strictes. Les utilisateurs de ces applications vont certainement les suivre, et ces sites vont donc recevoir plus de visites. Dans tous les cas, ce sont de bonnes nouvelles pour les cybercriminels.

Comment survivre à ce nouveau souffle

Google Play a mis en place cette nouvelle règle pour bouleverser la dynamique du pouvoir du marché des applications mobiles, et cela signifie que les utilisateurs Android devront faire beaucoup plus attention dans le futur.

  • Ne téléchargez jamais les applications à partir de sources suspectes. Si une application n’est pas disponible sur Google Play, ne la téléchargez pas à partir du premier site qui apparaît dans les résultats de recherche. Trouvez le site officiel du développeur, et téléchargez l’application.
  • Installez seulement les logiciels développés par les entreprises réputées. Avant de lancer l’installation, assurez-vous que l’application que vous recherchez existe sous Android.
  • Vérifiez les autorisations que l’application vous demandent d’accepter, et ne lui donner pas des droits supplémentaires, même si vous êtes sûr que ce n’est pas un malware. Nous avons déjà expliqué comment configurer les autorisations des applications sous Android 6 et 7, mais aussi sous Android 8 et les versions ultérieures.
  • Protégez votre système grâce un antivirus de confiance, comme Kaspersky Security Cloud. Il détecte beaucoup mieux les malwares que vous.