La sĂ©curitĂ© en dĂ©veloppement mobile est l’une des questions qui prĂ©occupent tous les acteurs du marchĂ© en question : les porteurs de projets, les dĂ©veloppeurs et enfin les utilisateurs. Comment ne pas s’inquiĂ©ter si au premier lancement d’une application, celle-ci nous demande plusieurs autorisations dont on ne connaĂ®t parfois mĂŞme pas les consĂ©quences.
La demande des autorisations est souvent entièrement justifiĂ©e pour permettre Ă l’application de fonctionner correctement, mais, malheureusement, cela n’est pas toujours le cas. C’est pourquoi l’utilisateur doit faire attention aux autorisations qu’il donne, mais il est Ă©galement essentiel que le dĂ©veloppeur ait une approche Ă©thique de son mĂ©tier et ne demande que ce qui est strictement nĂ©cessaire.
Comparé aux ordinateurs, les applications mobiles ont un accès très limité au contenu de nos smartphones. En outre, nous pouvons toujours modifier les paramètres selon nos préférences. Voici les autorisations le plus souvent sollicitées par les applications :
- Contacts
- Appels
- Photos, média et fichiers
- Identifiant de l’appareil et informations le concernant
- Information de connexion WiFi
- Accès aux comptes
Bien sûr, une application n’a pas forcément besoin de toutes ces autorisations. Leur étendue dépend toujours de ses fonctionnalités. Par exemple, une application qui sert à chercher des restaurants les plus proches nécessitera l’accès au GPS du smartphone.
Quel risque prend un utilisateur en négligeant les questions de sécurité en développement mobile ? Par exemple, si vous donnez à une application l’accès aux SMS de votre Android, l’application pourra non seulement lire vos messages mais également en envoyer de nouveaux, et cela sans votre intervention. Vous risquez alors de voir votre facture exploser.
Si vous donnez à une application l’accès aux SMS de votre Android, l’application pourra non seulement lire vos messages mais également en envoyer de nouveaux, et cela sans votre intervention. Vous risquez alors de voir votre facture exploser.
Votre confidentialité en danger ?
Il faut garder Ă l’esprit que la sĂ©curitĂ© de l’utilisation d’une application ne dĂ©pend pas que des experts en dĂ©veloppement mobile et du code qu’ils Ă©crivent, mais aussi de l’utilisateur qui doit accepter ou rejeter la politique de confidentialitĂ© de chaque application. Selon une Ă©tude rĂ©cente rĂ©alisĂ©e par l’entreprise Quental, au moins 61,3% des applications mobiles les plus tĂ©lĂ©chargĂ©es respectent le cadre juridique en rigueur y ont une politique de confidentialitĂ© qui rĂ©git l’utilisation et le traitement des donnĂ©es personnelles de l’utilisateur.
La question se pose maintenant de savoir comment bien protĂ©ger sa vie privĂ©e en tant qu’utilisateur des apps. Le principe est similaire Ă celui que connaissent dĂ©jĂ tous les habituĂ©s des rĂ©seaux sociaux : si vous ne voulez pas que quelqu’un voie votre contenu, ne le publiez pas ou changez les paramètres de confidentialitĂ© de votre compte. C’est encore plus strict dans le cas des applications mobiles. Si vous n’ĂŞtes pas d’accord pour donner les permissions qu’une application vous demande, ne l’utilisez pas. Vous ne pouvez pas limiter certaines autorisations, car l’application risque de ne pas fonctionner correctement, mais n’oubliez pas qu’en donnant Ă l’application toutes les autorisations, vos donnĂ©es les plus sensibles (photos, vidĂ©os, mots de passe, les coordonnĂ©es bancaires, etc.) pourraient tomber entre de mauvaises mains.
Comment puis-je me protéger ?
Comme nous l’avons dĂ©jĂ dit, la solution la plus radicale est de ne pas tĂ©lĂ©charger l’application qui demande des autorisations douteuses. Avec un peu de chance, vous trouverez sur le store une application similaire qui n’exigera pas autant de permissions.
Une autre option est de limiter l’accès aux donnĂ©es des applications que vous avez installĂ©es. Vous pouvez le faire dans les paramètres de votre smartphone, mais prenez en compte que cela risque d’affecter le bon fonctionnement de l’application.
Les utilisateurs d’Android peuvent également utiliser l’outil App Ops qui facilite la gestion des permissions des applications.
Source: Pinterest
Sous iOS, lorsqu’une application a besoin d’une permission, une fenĂŞtre pop-up vous rappelle que vous devriez le lui donner ou que vous l’avez dĂ©jĂ fait. Les pop-ups sont certes gĂŞnants, mais grâce Ă elles Apple permet Ă l’utilisateur d’avoir plus de contrĂ´le de sĂ©curitĂ© de sa vie privĂ©e, et cela Ă chaque utilisation de l’application.
Le développement mobile respectueux de la sécurité. Que peut faire le développeur ?
Selon une Ă©tude rĂ©alisĂ©e par l’UniversitĂ© de Valladolid sur la sĂ©curitĂ© et la vie privĂ©e dans les applications mobiles, « les dĂ©veloppeurs, dans leur empressement de publier les applications, nĂ©gligent certains aspects qui doivent ĂŞtre pris en compte, en particulier la vie privĂ©e et la sĂ©curitĂ© des donnĂ©es traitĂ©es. »
Borja MartĂnez, chercheur tĂ©lĂ©mĂ©decine et e-santĂ© Ă l’UniversitĂ© de Valladolid propose aux programmeur quelques bonnes pratiques du dĂ©veloppement mobile plus sĂ©curisĂ© :
- ContrĂ´le d’accès. Toujours laisser Ă l’utilisateur la possibilitĂ© d’autoriser ou d’interdire l’accès aux informations de son smartphone.
- Identification. L’utilisateur devrait avoir son ID unique et un mot de passe que lui seul connaît.
- Sécurité et confidentialité. L’utilisation de la norme AES (Advanced Encryption Standard) avec une clé de chiffrement d’au moins 128 bits est fortement recommandée pour assurer la sécurité.
- IntĂ©gritĂ©. Il faut utiliser au moins un code d’authentification chiffrĂ© avec une clĂ© symĂ©trique, comme AES.
- Information à l’utilisateur. Avant de demander toute information à l’utilisateur, les applications doivent lui présenter une politique de confidentialité claire qui précise qui utilisera les données et dans quel but. Les droits des utilisateurs et les coordonnées de contact doivent également y figurer.
- Transfert de données. Il est recommandé d’utiliser TLS (Transport Layer Security) avec l’encryptage de 128 bits ou des réseaux privés virtuels.
- Stockage des données. Les données doivent être conservées dans un but clairement défini et pas plus que le temps nécessaire.
- Connexion avec wearables. L’application doit utiliser la cryptographie pour l’authentification des dispositifs et pour la distribution de la clé d’authentification.
- Alertes en cas de faille de sécurité. Le développeur doit informer les autorités compétentes et les utilisateurs dès que possible et devrait aider ces derniers à atténuer les dommages causés par la faille.