Apptizo
⌘K
S’abonner
Hand holding smartphone capturing colorful tarot cards in focus.

Apps

Cette application est-elle sûre à télécharger ? Une checklist pratique

Les malwares mobiles explosent — les applications dangereuses ont souvent l'air anodines. Apprenez à vérifier les permissions, détecter les faux avis et repérer les signaux d'alerte des stores en moins de 2 minutes.

May 09, 2026 · 14 min de lecture · via kramaru

TLDR Avant d'installer une application, vérifiez les permissions demandées, examinez le parcours du développeur et analysez les avis pour y déceler des signes d'authenticité. La plupart des applications risquées passent inaperçues à l'œil nu, mais s'effondrent sous un audit de 90 secondes. Ce guide, c'est cet audit — aucune connaissance technique requise.

Le processus d'installation d'une application est conçu pour paraître sans effort. Un tap, on accepte, c'est fait. Cette suppression des frictions est une décision produit délibérée — et c'est précisément pourquoi les détections de malwares mobiles ont atteint 3,4 millions de paquets malveillants sur Android seul au premier trimestre 2024, selon l'unité de renseignement sur les menaces de Kaspersky. La plupart de ces applications n'étaient pas des faux criards et évidents. Elles se faisaient passer pour des lampes de poche, des scanners QR, des services VPN gratuits. La frontière entre un téléchargement sûr et un cauchemar de collecte de données tient souvent à quelques vérifications précises. Des vérifications qui prennent moins de temps que lire une notification push.

L'écran des permissions n'est pas de la bureaucratie

La plupart des gens tapent « Autoriser tout » et passent à la suite. Compréhensible — ces boîtes de dialogue ressemblent à des péages d'autoroute, quelque chose à franchir pour atteindre la destination réelle. Mais cet écran est le signal le plus honnête qu'une application vous donnera jamais sur ses véritables intentions.

Les permissions se répartissent en niveaux. Sur Android 13+, les permissions « normales » (accès à internet, contrôle des vibrations) sont accordées automatiquement à l'installation. Les permissions « dangereuses » — localisation, appareil photo, microphone, contacts, SMS, stockage — nécessitent une approbation explicite de l'utilisateur et méritent qu'on s'y attarde. La question à poser est simple : cette application a-t-elle besoin de cette permission pour faire son travail ?

Une application météo qui demande la localisation ? Logique. La même application qui réclame l'accès à vos contacts et à votre microphone ? Elle n'a besoin d'aucun des deux pour vous dire qu'il va pleuvoir.

Écran de smartphone affichant des boîtes de dialogue de demande de permissions d'application

Ce que chaque permission révèle réellement

Permission Usage légitime Usage suspect
Localisation précise Cartes, météo locale, covoiturage Lampe de poche gratuite, calculatrice basique, fonds d'écran
Contacts Messagerie, identification des appelants Filtre photo, réveil, lecteur PDF
Microphone Appels voix/vidéo, recherche vocale Jeux sans fonctions vocales, lecteur d'actualités
Appareil photo Scanner QR, appel vidéo Utilitaire de texte, outil de budget
Lecture/envoi de SMS Applications 2FA, messagerie dédiée Presque tout ce qui n'est pas une messagerie
Service d'accessibilité Lecteurs d'écran, gestionnaires de mots de passe La permission la plus exploitée par les spywares

Cette dernière ligne mérite une attention particulière. Les applications disposant d'un accès au Service d'accessibilité peuvent lire tout ce qui s'affiche à l'écran, intercepter les frappes clavier et interagir avec d'autres applications en votre nom. Des usages légitimes existent — TalkBack, LastPass, Tasker. Mais les chevaux de Troie bancaires raffolent de cette permission plus que de toute autre. GoldPickaxe, un cheval de Troie documenté par Group-IB début 2024, a exploité les fonctionnalités d'accessibilité sur les variantes Android et iOS pour collecter des données de reconnaissance faciale et intercepter des SMS. Si une application que vous n'avez pas délibérément cherchée à des fins d'accessibilité la réclame, c'est un refus catégorique.

Warning Si une application exige l'accès au Service d'accessibilité sans être un lecteur d'écran, un gestionnaire de mots de passe ou un outil d'automatisation que vous avez spécifiquement recherché, refusez immédiatement. Cette permission peut exposer vos identifiants bancaires, codes 2FA et mots de passe affichés à l'écran au développeur de l'application.

Un dernier point : sur Android, les applications sideloadées — installées en dehors du Play Store via des fichiers APK téléchargés directement — contournent entièrement la vérification pré-installation de Google. Tenez-vous aux stores officiels, sauf si vous avez une raison précise et bien documentée de faire autrement.

Comment vérifier qu'un développeur est vraiment légitime

Le nom du développeur sur une fiche store est l'une des premières choses à contrôler. Et l'une des plus faciles à falsifier.

Une arnaque récurrente fonctionne ainsi : un acteur malveillant clone le nom et l'icône d'une application populaire, crée un compte développeur sous un nom légèrement différent, et publie l'imposteur. Google a supprimé 2,28 millions d'applications violant ses politiques du Play Store en 2023 — ce chiffre provient directement de leur rapport annuel de transparence — et il ne comptabilise pas celles qui ont passé entre les mailles du filet. Les applications clones représentent une part réelle et persistante du problème, notamment autour des outils bancaires, de cryptomonnaies et utilitaires.

Je l'ai testé un jour en cherchant l'application mobile d'une grande banque régionale sur un ancien appareil Android. Le troisième résultat du Play Store était un clone : icône quasi identique, compte développeur vieux de trois semaines, un nom d'entreprise différent mais plausible. Il affichait 4,8 étoiles. On verra bientôt pourquoi ce chiffre est moins rassurant qu'il n'y paraît.

Vérifier la crédibilité d'un développeur : étape par étape

  1. Recherchez le nom du développeur de façon indépendante. Ne vous fiez pas uniquement à la fiche store. Saisissez le nom du développeur dans Google avec « arnaque » ou « malware » ajouté. Une entreprise légitime disposera d'une vraie présence en ligne au-delà de son profil sur le store.
  2. Vérifiez la date de création du compte développeur et le nombre d'applications publiées. Les nouveaux comptes qui publient des applications prétendant avoir des millions de téléchargements méritent un examen approfondi. Sur Google Play, la fiche affiche les autres applications du développeur — si c'est sa seule et qu'elle est apparue le mois dernier, creusez avant de continuer.
  3. Vérifiez le site externe du développeur. La fiche doit renvoyer vers un vrai site avec des coordonnées fonctionnelles. Un lien pointant vers une page vide, un domaine en stationnement ou un site Wix générique d'un seul paragraphe est un signal d'alerte significatif.
  4. Cherchez l'application sur le site officiel de l'organisation. Les grandes applications — votre banque, Spotify, votre assureur — mentionnent ou renvoient vers leur application directement depuis leur site principal. Commencez par là, pas par les résultats d'une recherche sur le store.
  5. Vérifiez le domaine de l'adresse e-mail de support. Si le contact de support est une adresse Gmail ou Hotmail et que l'application revendique 10 millions de téléchargements, ce décalage vaut la peine d'être investigué. Les organisations à cette échelle utilisent des e-mails à leur nom de domaine.
  6. Vérifiez s'il existe une adresse physique. Tous les petits développeurs n'ont pas d'adresse de bureau, mais les applications gérant des paiements ou des données de santé sont souvent légalement tenues d'en divulguer une. Son absence dans ces catégories est notable.
Tip Pour toute application liée à la banque, la santé, les cryptomonnaies ou les paiements — commencez le processus de téléchargement depuis le site officiel du service, pas depuis la barre de recherche du store. Le propre site de l'organisation vous renverra vers leur fiche store vérifiée et confirmée par l'éditeur.

Les faux avis sont devenus sophistiqués

Une note de 4,6 étoiles avec 50 000 avis n'est pas, en soi, une preuve de qualité ou de sécurité. Il faut le dire clairement. La manipulation des avis est une industrie florissante. Une analyse de 2022 menée par des chercheurs de l'Université de Baltimore a estimé que les faux avis avaient influencé 152 milliards de dollars de décisions d'achat mondiales cette année-là — les stores d'applications sont pleinement concernés.

Les techniques ont évolué. Les premières fermes de faux avis produisaient des textes manifestement robotiques : courts, génériques, bizarrement formels. Aujourd'hui, elles utilisent du contenu généré par IA avec un vocabulaire varié, des structures de phrases mixtes, et même une distribution simulée d'avis 3 et 4 étoiles saupoudrés pour créer une apparence d'authenticité. On ne peut pas se fier au chiffre agrégé. Il faut lire les avis réels.

Comparaison côte à côte d'avis authentiques et de faux avis sur un store d'applications mobiles

Signaux indiquant que les avis sont fabriqués

  • Schémas en rafale. Triez les avis par plus récents et cherchez un grand groupe d'entrées 5 étoiles publiées en quelques jours. Une croissance organique ne ressemble pas à un pic vertical.
  • Formulations identiques ou quasi identiques entre différents aviseurs. « Cette application a changé ma vie et fonctionne parfaitement ! » apparaissant mot pour mot ou paraphrasé de façon identique sur cinq comptes en 48 heures est la production d'une ferme copier-coller.
  • Aviseurs sans autre avis ni photo de profil. Sur Google Play, on peut appuyer sur le nom d'un aviseur pour voir son historique. Les comptes avec un seul avis, sans avatar et un nom générique sont fréquemment achetés auprès de moulins à avis.
  • Un nombre d'étoiles disproportionné par rapport aux avis écrits. Une note de 4,9 étoiles avec 80 000 avis mais seulement 14 réponses écrites visibles est un signal d'alerte. Les chiffres ne tiennent pas si de vrais utilisateurs avaient fait les évaluations.
  • Des avis qui ne décrivent pas les fonctionnalités réelles de l'application. Un gestionnaire de mots de passe recevant des avis louant sa « qualité vidéo incroyable » ou sa « belle interface de navigation » suggère que les avis ont été rédigés par des bots ou des évaluateurs payés qui n'ont jamais touché le produit.

Voici le conseil contre-intuitif : une application à 4,2 étoiles avec 1 800 avis détaillés et mitigés est souvent plus fiable qu'une application à 4,9 étoiles avec 100 000 avis suspecement uniformes. Une moyenne plus basse ne signifie pas toujours moins bon. Parfois, ça signifie que de vraies personnes ont laissé des opinions honnêtes.

Info Des outils comme Fakespot (disponible en extension de navigateur) peuvent analyser les schémas d'avis sur certaines plateformes, bien que leur couverture des stores d'applications mobiles soit limitée. Pour les vérifications manuelles, trier les avis par « Les plus critiques » ou note la plus basse fait souvent remonter les expériences utilisateurs les plus franches — les vrais utilisateurs mécontents écrivent précisément sur ce qui a mal tourné.

Les signaux d'alerte du store que vous survolez probablement

Au-delà des permissions et des avis, la fiche elle-même contient des informations — si vous la lisez plutôt que de l'absorber passivement.

Fautes d'orthographe et de grammaire dans la description. Les développeurs légitimes — surtout ceux ayant atteint une certaine envergure — font relire la fiche store avant publication. Des descriptions hachées avec des formulations maladroites, une syntaxe issue de la traduction automatique ou des substantifs aléatoirement mis en majuscule sont une caractéristique commune aux applications produites par des opérations frauduleuses à bas coût.

La date de « Dernière mise à jour ». Une application prétendant offrir une protection de sécurité en temps réel, des données financières en direct ou une analyse de malwares active, sans mise à jour depuis 2021, ne tient pas ses promesses. Les applications qui fonctionnent vraiment sont mises à jour. Vérifiez la date et comparez-la à ce que l'application prétend faire.

Décalage entre nombre de téléchargements et nombre d'avis. Si une application affiche 10 millions de téléchargements mais seulement 800 avis, le ratio est implausible. Les vrais utilisateurs qui interagissent régulièrement avec une application laissent des avis à un rythme organique cohérent. Un écart massif indique généralement des chiffres de téléchargements gonflés, des installations artificielles par des bots, ou les deux.

Qualité et accessibilité de la politique de confidentialité. Chaque application collectant des données utilisateur est légalement tenue, sous le RGPD (en vigueur depuis mai 2018 en Europe) et le CCPA (en vigueur depuis janvier 2020 en Californie), de publier une politique de confidentialité. Un lien absent est déjà une violation. Mais une politique qui se borne à indiquer « nous pouvons partager vos données avec des tiers non précisés à des fins commerciales » est techniquement conforme tout en étant pratiquement inutile. Lisez au minimum les deux premiers paragraphes — vous y trouverez généralement l'essentiel de ce que vous devez savoir.

Révélations d'achats intégrés n'apparaissant qu'après l'installation. Si une application est répertoriée comme « Gratuit » mais propose immédiatement un abonnement à 49,99 €/semaine avant même que vous ayez utilisé la moindre fonctionnalité, c'est un dark pattern — et dans certains cas, une arnaque. Vérifiez la ligne « Achats intégrés » dans la fiche store avant de télécharger.

Google Play vs. Apple App Store : lequel est réellement plus sûr ?

L'idée reçue est que l'App Store est intrinsèquement plus sûr parce qu'Apple examine manuellement chaque soumission d'application avant sa mise en ligne. Cette croyance n'est pas fausse — mais elle est nettement incomplète.

Facteur Google Play Apple App Store
Processus d'examen des applications Automatisé + examen humain post-publication Examen humain + automatisé avant publication
Sideloading Autorisé avec modification des paramètres Restreint sur iOS 17+ via notarisation uniquement
Vitesse de suppression des malwares Plus lente dans de nombreux cas documentés Généralement plus rapide après découverte
Prévalence des applications clones Plus élevée — barrière à l'entrée plus basse Plus faible, mais pas nulle
Divulgations de données Section « Sécurité des données » déclarée par le développeur « Fiches nutrition de confidentialité » auto-déclarées
Analyse sur l'appareil Play Protect analyse ~125 milliards d'applis/jour Pas d'équivalent de scanner continu sur l'appareil
Incidents historiques notables Agent Smith (2019, ~25M appareils), Goldoson (2023, 60+ applis infectées) XcodeGhost (2015, 4 000+ applis), GoldPickaxe (2024, iOS + Android)

La lecture à contre-courant : les utilisateurs iOS ont tendance à être moins vigilants lors de la vérification des applications, précisément parce qu'ils font confiance au processus d'examen d'Apple. Cette confiance mal placée en fait des cibles plus faciles pour une catégorie spécifique d'attaque — des applications qui se comportent normalement pendant des semaines ou des mois après le lancement, puis reçoivent une mise à jour de configuration côté serveur qui active le comportement malveillant une fois passée la fenêtre d'examen initiale. Les examinateurs d'Apple ne peuvent évaluer que ce que fait l'application au moment de la soumission.

Google Play Protect, de son côté, effectue une analyse continue sur l'appareil même après l'installation et l'approbation d'une application. Cette surveillance permanente constitue une différence architecturale significative pour la protection au quotidien, même si la barrière initiale à la publication sur Android est notoirement plus basse.

Aucune plateforme n'offre de garantie. Ce sont des ralentisseurs, pas des murs.

Vue en écran partagé des écrans d'accueil de Google Play et de l'Apple App Store

Checklist rapide avant installation

À effectuer avant d'installer toute application qui gérera des données sensibles — banque, dossiers médicaux, messagerie, mots de passe, ou tout ce qui requiert des identifiants de connexion.

  1. Recherchez le nom de l'application suivi de « malware » ou « arnaque » — trente secondes de vérification que la plupart des gens sautent complètement.
  2. Vérifiez que le nom du développeur correspond à l'organisation attendue, en contrôlant en dehors du store.
  3. Confirmez que le développeur a d'autres applications publiées et un compte plus ancien que quelques semaines.
  4. Lisez la liste des permissions avant d'appuyer sur télécharger — sur Android, elle est visible dans la fiche store sous « Autorisations de l'application » sans rien installer.
  5. Parcourez les avis 1 étoile pour repérer des schémas autour des violations de confidentialité, des frais inattendus ou des allégations de vol de données.
  6. Vérifiez la date de « Dernière mise à jour » — toute application liée à la sécurité non mise à jour depuis 18 mois ou plus présente un risque accru.
  7. Suivez le lien vers la politique de confidentialité et lisez le premier paragraphe — vérifiez qu'il se charge et qu'il nomme des partenaires de données spécifiques.
  8. Auditez le ratio téléchargements/avis — une nouvelle application avec 5 millions de téléchargements et 150 avis a presque certainement des chiffres gonflés.
  9. Pour les applications financières ou de santé : commencez depuis le site officiel de l'organisation, pas depuis les résultats de recherche du store.
  10. Après l'installation, examinez les permissions dans les paramètres système de votre appareil et révoquez tout ce qui ne remplit pas une fonction claire — sur Android : Paramètres → Confidentialité → Gestionnaire d'autorisations ; sur iOS : Réglages → Confidentialité et sécurité.
Tip Sur Android, Paramètres → Confidentialité → Gestionnaire d'autorisations affiche toutes les applications organisées par type de permission. Vous pouvez voir en un coup d'œil quelles applications ont accès à l'appareil photo ou au microphone, et révoquer individuellement sans désinstaller. Faites cet audit sur vos applications actuelles — dans mon expérience, la plupart des gens trouvent au moins une surprise.

Sources et lectures complémentaires

Kaspersky Threat Intelligence Portal — Publie des rapports trimestriels sur les menaces mobiles avec des chiffres de détection réels organisés par plateforme, géographie et famille de malwares. Source principale pour les statistiques actuelles sur les volumes de malwares Android et les données de tendances.

Rapport de transparence du Google Play Store — Bilan annuel des applications supprimées de Google Play, raisons des suppressions par catégorie, et statistiques agrégées d'analyse de Play Protect. Source primaire, directement de Google.

Apple Platform Security Guide — Documentation officielle d'Apple sur le processus d'examen de l'App Store, les exigences de notarisation et l'architecture de sécurité sur l'appareil. Utile pour comprendre précisément ce que l'examen d'Apple couvre au moment de la soumission par rapport à l'exécution.

FTC Consumer Information (consumer.ftc.gov) — Conseils pratiques sur les arnaques aux applications mobiles, les frais d'abonnement non autorisés et comment signaler les applications frauduleuses. Rédigé pour le grand public, pas pour un public technique.

Zimperium Global Mobile Threat Report — Analyse industrielle annuelle des menaces spécifiques aux mobiles, taux de ciblage par phishing et tendances des vulnérabilités sur iOS et Android. Publié par une société de sécurité mobile — à lire avec ce contexte commercial en tête, mais les données sous-jacentes sont systématiquement bien citées.