Sécurité et développement mobile : autoriser l’accès à mes données ?

 

La sécurité en développement mobile est l’une des questions qui préoccupent tous les acteurs du marché en question : les porteurs de projets, les développeurs et enfin les utilisateurs. Comment ne pas s’inquiéter si au premier lancement d’une application, celle-ci nous demande plusieurs autorisations dont on ne connaît parfois même pas les conséquences.

La demande des autorisations est souvent entièrement justifiée pour permettre à l’application de fonctionner correctement, mais, malheureusement, cela n’est pas toujours le cas. C’est pourquoi l’utilisateur doit faire attention aux autorisations qu’il donne, mais il est également essentiel que le développeur ait une approche éthique de son métier et ne demande que ce qui est strictement nécessaire.

Comparé aux ordinateurs, les applications mobiles ont un accès très limité au contenu de nos smartphones. En outre, nous pouvons toujours modifier les paramètres selon nos préférences. Voici les autorisations le plus souvent sollicitées par les applications :

• Contacts
• Appels
• Photos, média et fichiers
• Identifiant de l’appareil et informations le concernant
• Information de connexion WiFi
• Accès aux comptes

Bien sûr, une application n’a pas forcément besoin de toutes ces autorisations. Leur étendue dépend toujours de ses fonctionnalités. Par exemple, une application qui sert à chercher des restaurants les plus proches nécessitera l’accès au GPS du smartphone.

Quel risque prend un utilisateur en négligeant les questions de sécurité en développement mobile ? Par exemple, si vous donnez à une application l’accès aux SMS de votre Android, l’application pourra non seulement lire vos messages mais également en envoyer de nouveaux, et cela sans votre intervention. Vous risquez alors de voir votre facture exploser.

Si vous donnez à une application l’accès aux SMS de votre Android, l’application pourra non seulement lire vos messages mais également en envoyer de nouveaux, et cela sans votre intervention. Vous risquez alors de voir votre facture exploser.

Votre confidentialité en danger ?

Il faut garder à l’esprit que la sécurité de l’utilisation d’une application ne dépend pas que des experts en développement mobile et du code qu’ils écrivent, mais aussi de l’utilisateur qui doit accepter ou rejeter la politique de confidentialité de chaque application. Selon une étude récente réalisée par l’entreprise Quental, au moins 61,3% des applications mobiles les plus téléchargées respectent le cadre juridique en rigueur y ont une politique de confidentialité qui régit l’utilisation et le traitement des données personnelles de l’utilisateur.

La question se pose maintenant de savoir comment bien protéger sa vie privée en tant qu’utilisateur des apps. Le principe est similaire à celui que connaissent déjà tous les habitués des réseaux sociaux : si vous ne voulez pas que quelqu’un voie votre contenu, ne le publiez pas ou changez les paramètres de confidentialité de votre compte. C’est encore plus strict  dans le cas des applications mobiles. Si vous n’êtes pas d’accord pour donner les permissions qu’une application vous demande, ne l’utilisez pas. Vous ne pouvez pas limiter certaines autorisations, car l’application risque de ne pas fonctionner correctement, mais n’oubliez pas qu’en donnant à l’application toutes les autorisations, vos données les plus sensibles (photos, vidéos, mots de passe, les coordonnées bancaires, etc.) pourraient tomber entre de mauvaises mains.

Comment puis-je me protéger ?

Comme nous l’avons déjà dit, la solution la plus radicale est de ne pas télécharger l’application qui demande des autorisations douteuses. Avec un peu de chance, vous trouverez sur le store une application similaire qui n’exigera pas autant de permissions.

Une autre option est de limiter l’accès aux données des applications que vous avez installées. Vous pouvez le faire dans les paramètres de votre smartphone, mais prenez en compte que cela risque d’affecter le bon fonctionnement de l’application.

Les utilisateurs d’Android peuvent également utiliser l’outil App Ops qui facilite la gestion des permissions des applications.

Source: Pinterest

Sous iOS, lorsqu’une application a besoin d’une permission, une fenêtre pop-up vous rappelle que vous devriez le lui donner ou que vous l’avez déjà fait. Les pop-ups sont certes gênants, mais grâce à elles Apple permet à l’utilisateur d’avoir plus de contrôle de sécurité de sa vie privée, et cela à chaque utilisation de l’application.

Le développement mobile respectueux de la sécurité. Que peut faire le développeur ?

Selon une étude réalisée par l’Université de Valladolid sur la sécurité et la vie privée dans les applications mobiles, « les développeurs, dans leur empressement de publier les applications, négligent certains aspects qui doivent être pris en compte, en particulier la vie privée et la sécurité des données traitées. »

Borja Martínez, chercheur télémédecine et e-santé à l’Université de Valladolid propose aux programmeur quelques bonnes pratiques du développement mobile plus sécurisé :

• Contrôle d’accès. Toujours laisser à l’utilisateur la possibilité d’autoriser ou d’interdire l’accès aux informations de son smartphone.
• Identification. L’utilisateur devrait avoir son ID unique et un mot de passe que lui seul connaît.
• Sécurité et confidentialité. L’utilisation de la norme AES (Advanced Encryption Standard) avec une clé de chiffrement d’au moins 128 bits est fortement recommandée pour assurer la sécurité.
• Intégrité. Il faut utiliser au moins un code d’authentification chiffré avec une clé symétrique, comme AES.
• Information à l’utilisateur. Avant de demander toute information à l’utilisateur, les applications doivent lui présenter une politique de confidentialité claire qui précise qui utilisera les données et dans quel but. Les droits des utilisateurs et les coordonnées de contact doivent également y figurer.
• Transfert de données. Il est recommandé d’utiliser TLS (Transport Layer Security) avec l’encryptage de 128 bits ou des réseaux privés virtuels.
• Stockage des données. Les données doivent être conservées dans un but clairement défini et pas plus que le temps nécessaire.
• Connexion avec wearables. L’application doit utiliser la cryptographie pour l’authentification des dispositifs et pour la distribution de la clé d’authentification.
• Alertes en cas de faille de sécurité. Le développeur doit informer les autorités compétentes et les utilisateurs dès que possible et devrait aider ces derniers à atténuer les dommages causés par la faille.