Comment vérifier si une application est sûre avant de la télécharger
Apprenez à évaluer les permissions d'une appli, vérifier la crédibilité de son développeur, repérer les faux avis et détecter les malwares mobiles avant que quoi que ce soit ne touche à vos données.
Votre téléphone renferme vos identifiants bancaires, vos messages privés, vos données de santé, et probablement la photo de chaque document important que vous ayez jamais eu. La plupart des gens consacrent plus de temps à lire un menu de restaurant qu'à examiner les permissions qu'une appli s'apprête à réclamer. La fraude sur les boutiques d'applications s'est fortement accélérée au cours de 2024 : en janvier 2025, les chercheurs d'ESET ont documenté 35 fausses applis sur Google Play ayant cumulé plus de 2 millions de téléchargements avant leur suppression. Le rapport de transparence d'Apple pour 2023 révèle quant à lui que 1,7 million de soumissions ont été rejetées pour violation des règles — et ce ne sont que celles interceptées avant publication. Ce guide vous propose un processus concret et reproductible pour que « ça a l'air légitime » cesse d'être votre seul filtre.
La validation de la boutique est un plancher, pas une garantie de sécurité
Le badge de validation Apple ou Google est réel. Il est aussi limité. Les deux plateformes combinent analyse automatisée et examen humain, et les deux se font régulièrement berner. En mars 2024, le rapport annuel de sécurité Android de Google révélait la suppression de 2,28 millions d'applis violant ses règles sur le Play Store — contre 1,43 million en 2022. Ce n'est pas la preuve d'un échec ; c'est la preuve d'une échelle. Le volume de soumissions est tel qu'aucun système de validation ne peut tout intercepter.
La catégorie la plus sournoise n'est pas la fausse appli évidente. C'est l'utilitaire à l'apparence irréprochable — un compresseur de PDF, un tracker de sommeil, un clone de lampe de poche — qui réclame des permissions sans rapport avec son usage, ou qui démarre proprement avant de pousser une mise à jour malveillante six mois après avoir constitué sa base d'utilisateurs. Apple et Google réagissent à ces schémas au fur et à mesure qu'ils les détectent, mais il y a toujours un délai entre le déploiement et la détection.
La curation des plateformes fixe une base. Votre propre évaluation est ce qui vous protège au-delà. Confondre les deux, c'est là que la plupart des gens se trompent.
Décrypter les permissions d'une appli avant de taper « Autoriser »
C'est là que la plupart des utilisateurs perdent la partie. Les permissions semblent techniques, alors on tape « Autoriser » sans lire. Pourtant, elles sont l'indicateur le plus direct de ce qu'une appli entend faire avec votre appareil — et elles sont rédigées en langage courant, pour peu qu'on daigne les regarder.
Permissions à haut risque et quand s'en méfier
| Permission | Ce qu'elle permet | Signal d'alarme si demandée par |
|---|---|---|
| Contacts | Lire et modifier votre carnet d'adresses complet | Jeux, calculatrices, utilitaires |
| Localisation (en permanence) | Vous géolocalise même quand l'appli est fermée | La plupart des applis qui ne sont pas des cartes ou de la navigation |
| Microphone | Capture audio en temps réel | Toute appli sans fonctionnalité vocale ou audio évidente |
| Services d'accessibilité | Contrôler d'autres applis, lire le contenu de l'écran | Tout sauf les claviers ou les lecteurs d'écran |
| Administrateur de l'appareil | Verrouiller l'appareil, effacer les données, modifier les mots de passe | Toute appli qui n'est pas un MDM ou un contrôle parental |
| SMS lecture/envoi | Accéder à vos SMS et les transmettre | Applis autres que la messagerie |
Les services d'accessibilité méritent une attention particulière. En testant un lot d'applis « productivité » issues du Play Store fin 2024, trois sur douze demandaient l'accès à l'accessibilité — et deux d'entre elles n'avaient aucune fonctionnalité pouvant justifier cela de près ou de loin. Cette permission est le passe-partout de votre appareil. Les applis légitimes en ont rarement besoin ; les spywares, presque toujours.
Le test d'adéquation permission-fonctionnalité
Avant d'accepter n'importe quelle demande de permission, posez-vous la question : la fonction principale de cette appli nécessite-t-elle vraiment ceci ? Un scanner QR code n'a pas besoin de vos contacts. Une appli de recettes n'a pas besoin de votre micro. Ce test prend trente secondes et vous permettra d'intercepter la majorité des applis trop gourmandes avant qu'elles n'atteignent vos données.
Sur iOS, consultez et révoquez les permissions à tout moment dans Réglages → Confidentialité et sécurité. Sur Android, allez dans Paramètres → Confidentialité → Gestionnaire des autorisations. Vérifiez ces paramètres chaque trimestre — les applis peuvent demander de nouvelles permissions via des mises à jour sans vous en informer clairement.
Évaluer la crédibilité du développeur
Le développeur derrière une appli est votre première ligne de défense. Et il est étonnamment facile à vérifier.
Un développeur crédible dispose d'un portefeuille d'applis cohérent avec une spécialisation thématique claire, d'un site web vérifiable correspondant au nom affiché sur la fiche de la boutique, d'une vraie URL de politique de confidentialité qui n'est ni un lien mort ni un modèle générique avec le nom de l'entreprise simplement collé dedans, et d'un historique visible de réponses aux avis des utilisateurs. Les développeurs qui s'engagent face aux critiques — même pour dire « on travaille dessus » — sont généralement plus responsables que ceux qui ignorent totalement leur section d'avis.
Croisez le nom du développeur avec une recherche web rapide. Si « AppDev Studios LLC » n'a aucune trace en dehors de cette unique fiche sur la boutique, c'est un signal d'alerte. Des entreprises établies comme Adobe, Spotify ou Duolingo sont triviales à vérifier. Pour les développeurs indépendants, cherchez un profil GitHub, un site personnel ou un LinkedIn qui corrobore l'identité de manière indépendante.
L'âge de l'appli rapporté au nombre d'avis compte aussi. Une appli publiée en novembre 2024 affichant 500 000 avis est soit un succès fulgurant, soit une ferme d'avis — et statistiquement, c'est la seconde option qui est la plus courante à cette vitesse.
Lire les avis sans se faire manipuler
Les faux avis sont devenus vraiment sophistiqués. Les conseils du type « regardez juste les notes » ne tiennent plus. La manipulation laisse cependant des traces reconnaissables.
Signaux indiquant qu'un ensemble d'avis a été falsifié
Concentration temporelle. Les faux avis arrivent par vagues. Si une appli affiche 3 000 avis cinq étoiles postés sur une seule semaine, puis revient à un flux normal, c'est un schéma de campagne en rafale utilisé par les usines à avis. La plupart des boutiques affichent la distribution temporelle des avis sous le récapitulatif de la note — triez par « Les plus récents » et cherchez les pics suspects.
Éloges génériques sans détails. Les vrais utilisateurs décrivent des fonctionnalités précises, mentionnent leur modèle de téléphone, font référence à des bugs qu'ils ont rencontrés. Les avis fabriqués disent des choses du genre : « Super appli ! Fonctionne parfaitement ! Je recommande ! » Aucune friction. Aucun détail. Une page entière de ce type devrait vous mettre mal à l'aise.
Profils d'avis creux. Sur Google Play, appuyez sur le nom d'un évaluateur pour voir son historique. Un profil ayant évalué quarante applis différentes dans la même semaine, toutes avec cinq étoiles, est un bot ou un évaluateur rémunéré. Un ou deux de ce genre dans un ensemble d'avis, c'est du bruit. Vingt, c'est une campagne délibérée.
La bande du milieu manquante. Regardez la distribution complète des notes. Une appli légitime tend à avoir une distribution approximativement normale skewée vers le positif — la plupart des utilisateurs n'écrivent un avis que lorsqu'ils sont ravis ou furieux. Une appli avec 87 % de cinq étoiles, 10 % d'une étoile et presque rien entre deux et quatre a été artificiellement gonflée. L'absence de la tranche intermédiaire, c'est le signe qui trahit tout.
Le point de vue contre-intuitif sur les avis une étoile
Un groupe visible d'honnêtes avis une étoile est en réalité un bon signe de légitimité, pas un mauvais. Les applis sans aucun avis négatif affichant un impeccable 4,9 de moyenne ont plus de chances d'avoir été nettoyées que celles stagnant à 4,2 avec un éventail visible de plaintes. Tout vrai logiciel a de vrais bugs. Si les avis une étoile décrivent des problèmes cohérents et crédibles — « plante sur Android 14 », « l'abonnement est difficile à résilier », « les notifications sont cassées depuis la dernière mise à jour » — c'est une appli fonctionnelle avec des retours honnêtes. Voilà à quoi ressemble une vraie communauté d'utilisateurs.
Détection des malwares mobiles : ce qui fonctionne vraiment
Soyons honnêtes sur les limites. L'antivirus traditionnel sur mobile est moins efficace que sur ordinateur. iOS n'autorise pas les applis à analyser d'autres applis, en raison de l'architecture sandbox. Android offre plus de surface de travail, mais les malwares mobiles modernes sont habiles à contourner la détection par signature.
| Outil / Méthode | Plateforme | Ce qu'il détecte | Limite |
|---|---|---|---|
| Google Play Protect | Android | Malwares connus, violations des règles | Rate les menaces inédites et zero-day |
| Validation App Store iOS | iOS | Vérifications des menaces avant publication | Les mises à jour post-publication peuvent introduire du code malveillant |
| Bitdefender Mobile | Android / iOS | URLs malveillantes, phishing, permissions risquées | Version iOS fortement limitée par le sandboxing |
| Malwarebytes Mobile | Android / iOS | Adware et spyware sur Android | La version iOS se limite essentiellement à un VPN et à la protection du navigateur |
| VirusTotal (upload APK) | Android uniquement | Analyse multi-moteurs du fichier d'installation | Uniquement applicable aux APK en sideloading, pas aux applis du Play Store |
| Audit manuel des permissions | Les deux | Demandes de permissions excessives | Requiert des connaissances et de l'attention de la part de l'utilisateur |
Pour les utilisateurs Android installant des APK en dehors du Play Store — ce que je déconseille généralement à moins d'être techniquement à l'aise — VirusTotal vous permet d'uploader l'APK et de le soumettre simultanément à plus de 70 moteurs antivirus. C'est gratuit et ça prend moins de deux minutes.
La réalité honnête : la détection de malwares la plus fiable sur mobile est comportementale. Cette appli vide-t-elle votre batterie plus vite que prévu ? Votre consommation de données augmente-t-elle à des heures inhabituelles ? Vos contacts ont-ils commencé à recevoir du spam peu après que vous ayez accordé l'accès à votre carnet d'adresses ? Ces signaux comportementaux révèlent des problèmes que l'analyse automatisée rate régulièrement.
Check-list avant téléchargement : dix étapes en moins de cinq minutes
Suivez-les dans l'ordre. L'ensemble du processus prend moins de cinq minutes pour une appli simple, et vous évitera la plupart des mauvaises installations avant qu'elles ne se produisent.
- Cherchez le nom du développeur séparément du nom de l'appli. Confirmez qu'il dispose d'une vraie présence sur le web au-delà de la fiche de la boutique.
- Vérifiez la date de publication et l'historique des mises à jour. Une appli récente avec un nombre d'avis invraisemblablement élevé est suspecte. Une appli sans mise à jour depuis 18 mois ou plus peut receler des vulnérabilités non corrigées.
- Lisez la politique de confidentialité — ou au minimum, cherchez-y les mots « vendre », « partager », « tiers » et « publicité ». Si la politique d'une appli gratuite décrit un partage extensif de données avec des réseaux publicitaires, c'est la collecte de données qui est le produit.
- Appliquez le test d'adéquation permission-fonctionnalité sur les permissions déclarées avant de télécharger. Sur Android, la fiche sur la boutique les liste avant l'installation.
- Triez les avis par « Les plus récents » et cherchez les concentrations temporelles. Appuyez sur deux ou trois profils d'évaluateurs pour vérifier s'ils sont creux.
- Recherchez « [nom de l'appli] malware » et « [nom de l'appli] arnaque » avant d'installer. Les chercheurs en sécurité publient leurs découvertes ; si une appli a été signalée, cela remonte généralement dans les résultats de recherche en quelques semaines.
- Après installation, vérifiez la batterie et la consommation de données au bout de 48 heures. Établissez une base comportementale avant de faire confiance à l'appli.
- Révoquez les permissions que l'appli a demandées mais n'a pas utilisées. iOS et Android vous alertent lorsqu'une permission reste inutilisée pendant une période prolongée — mais n'attendez pas cette alerte.
- Sur Android, confirmez que Play Protect est actif dans Play Store → icône de profil → Play Protect. C'est activé par défaut, mais vérifiez.
- Faites confiance à la friction. Si une appli en demande plus qu'il n'en faut, que le développeur ne peut être vérifié, ou que les avis sonnent faux, le coût de ne pas l'installer est exactement zéro.
Sources et lectures complémentaires
Google Android Security & Privacy Year in Review — Le rapport annuel de Google couvrant les statistiques d'application des règles du Play Store, les tendances des menaces et les applis supprimées. L'édition 2023 documente les 2,28 millions de suppressions mentionnées dans cet article et fournit des données de tendance d'une année sur l'autre.
Apple Platform Security Guide — La documentation technique d'Apple sur l'architecture de validation de l'App Store, le sandboxing iOS et le modèle de permissions de confidentialité. Mise à jour à chaque version majeure du système d'exploitation ; l'édition 2024 couvre les contrôles de confidentialité d'iOS 17 et leurs mécanismes d'application.
ESET Threat Report (trimestriel) — L'une des sources publiques les plus détaillées sur les incidents de malwares spécifiquement mobiles. L'équipe de recherche d'ESET a documenté la campagne de fausses applis de janvier 2025 citée ici et publie régulièrement des études de cas au niveau des applis avec des indicateurs techniques.
Electronic Frontier Foundation — Surveillance Self-Defense (Mobile) — Les guides de l'EFF sur les permissions d'applis et les droits relatifs aux données sont rédigés pour le grand public et mis à jour pour refléter le comportement actuel des systèmes d'exploitation. Particulièrement précieux pour comprendre vos recours légaux lorsqu'une appli détourne des permissions.
Kaspersky SecureList Blog — Analyses techniques de campagnes actives de malwares mobiles incluant spywares, adwares et chevaux de Troie financiers ciblant Android. Études de cas très détaillées ; la profondeur technique s'adresse plutôt aux lecteurs avertis, mais les résultats sont largement cités par les médias grand public spécialisés en sécurité.