Navigation privée VPN Enceintes Données Mots de passe Applications HTTPS Gratuit IoT Téléphone Antivirus
Applications

Ce que les applications font avec vos permissions

Chaque permission accordée est une fenêtre sur vos données. La plupart ne sont pas nécessaires au fonctionnement de l'application — elles servent à la collecte.


Ce qu'on croit

Les permissions demandées par une application sont nécessaires à son fonctionnement. Un développeur sérieux ne demanderait pas accès à des données dont il n'a pas besoin.

Ce qui est vrai

La majorité des permissions excessives servent à la collecte de données à des fins publicitaires ou à la revente. Une étude Exodus Privacy a documenté que 79 types de données sont collectés en moyenne par les applications mobiles populaires.

Les permissions et ce qu'elles révèlent

L'accès à la localisation en permanence — même quand l'application est fermée — permet de reconstituer vos déplacements, vos habitudes, vos lieux de vie et de travail. L'accès aux contacts révèle votre réseau social, les noms et numéros de personnes qui n'ont pas installé l'application. L'accès au micro et à la caméra, même si l'écoute permanente est rare, représente une surface d'attaque significative en cas de vulnérabilité. L'accès aux photos permet d'analyser le contenu des images, les métadonnées GPS, et les personnes présentes.

Exodus Privacy, une organisation française, a développé un outil d'analyse des applications Android qui identifie les trackers embarqués et les permissions demandées. Leur base de données, accessible publiquement, révèle que des applications grand public intègrent parfois des dizaines de SDKs publicitaires dont l'utilisateur n'a aucune connaissance.

Comment auditer vos permissions

Sur iOS, Réglages > Confidentialité et sécurité liste toutes les permissions par catégorie. Sur Android, Paramètres > Confidentialité > Gestionnaire d'autorisations donne le même aperçu. La règle pratique : si vous ne comprenez pas pourquoi une application a besoin d'une permission pour fonctionner, révoquez-la. La plupart des applications continuent à fonctionner normalement sans leurs permissions optionnelles.

Le cas de la localisation mérite une attention particulière. La majorité des applications qui demandent la localisation "en permanence" fonctionnent correctement avec la localisation "uniquement lors de l'utilisation". La différence est considérable : permanente signifie que l'application peut vous localiser même fermée, en arrière-plan, à n'importe quelle heure.

La règle du moindre privilège

Accordez uniquement ce qui est strictement nécessaire au fonctionnement attendu. Si une lampe torche demande l'accès aux contacts, refusez. Si une application météo demande la localisation en permanence, accordez uniquement "lors de l'utilisation". Si une application de retouche photo demande l'accès au micro, refusez. L'application vous dira qu'elle en a besoin — mais elle fonctionnera souvent sans.

Les SDK publicitaires embarqués dans les applications

La plupart des applications gratuites monétisent via la publicité. Pour afficher des publicités ciblées, elles intègrent des SDKs (Software Development Kits) publicitaires fournis par des réseaux tiers — Facebook Audience Network, Google AdMob, ironSource, AppLovin. Ces SDKs collectent indépendamment leurs propres données sur votre appareil et votre comportement. Une application qui intègre cinq SDKs publicitaires crée cinq flux de collecte distincts, soumis à cinq politiques de confidentialité différentes.

Exodus Privacy maintient une base de données des trackers embarqués dans les applications Android, accessible sur exodus-privacy.eu.org. L'outil analyse les APKs et liste les trackers présents et les permissions déclarées. Certaines applications populaires — jeux, lampes torche, météo — intègrent des dizaines de trackers publicitaires, révélant une collecte disproportionnée par rapport au service rendu.

iOS vs Android — différences de protection

Apple a introduit App Tracking Transparency (ATT) en 2021 : les applications doivent demander explicitement la permission de suivre l'utilisateur entre applications via l'identifiant publicitaire (IDFA). Une majorité d'utilisateurs refuse. Cela a réduit l'efficacité du tracking publicitaire sur iOS, mais pas éliminé les autres vecteurs de collecte (comportement in-app, SDK first-party).

Android a introduit des contrôles similaires avec Android 12 (2021) et renforcé la possibilité de supprimer complètement l'identifiant publicitaire depuis Android 12L. Sur les deux systèmes, le principe reste le même : les protections existent mais ne sont pas activées de façon maximale par défaut, et nécessitent une démarche active de l'utilisateur pour en bénéficier pleinement.

Les permissions les plus sensibles — et ce qu'elles permettent

L'accès aux contacts est particulièrement intrusif : il concerne des personnes qui n'ont pas installé l'application et n'ont pas consenti à la collecte. Une application qui aspire votre carnet de contacts collecte les noms, numéros et emails de toutes les personnes que vous connaissez — y compris celles qui ont explicitement refusé d'utiliser ce service. WhatsApp, LinkedIn et de nombreuses autres applications ont fait l'objet de critiques et d'enquêtes réglementaires pour cette pratique.

L'accès au stockage (photos et fichiers) permet une analyse du contenu qui va au-delà de l'image elle-même. Les photos contiennent des métadonnées EXIF qui incluent souvent la localisation GPS au moment de la prise de vue, la marque et le modèle de l'appareil, et l'horodatage. Une application qui accède à vos photos accède à votre historique de localisation photographique. Sur iOS, l'accès limité aux photos ("Sélection" plutôt que "Toutes les photos") restreint cet accès depuis iOS 14 — utiliser cette option systématiquement.

Les applications les plus susceptibles de demander des permissions excessives

Les jeux mobiles gratuits financés par la publicité sont parmi les collecteurs les plus agressifs — ils intègrent souvent de nombreux SDKs publicitaires et demandent des permissions sans rapport avec leur fonctionnement. Les applications de lampe torche, niveaux à bulle, et autres utilitaires simples qui demandent l'accès aux contacts ou à la localisation sont des cas d'école de collecte disproportionnée. Les claviers tiers sont particulièrement sensibles : un clavier qui n'est pas open source ou dont la politique de confidentialité mentionne l'envoi de données a accès à tout ce que vous tapez — mots de passe inclus.

La règle pratique reste la même : si vous ne comprenez pas pourquoi cette permission est nécessaire pour le service rendu, refusez. Testez l'application sans la permission — dans la majorité des cas elle fonctionne normalement. Si elle refuse de démarrer sans une permission manifestement inutile, c'est un signal sur ses intentions réelles.