Une appli qui allume un flash LED. C’est à peu près aussi complexe qu’un interrupteur. Alors quand on découvre qu’une lampe torche gratuite réclame l’accès à votre carnet de contacts, votre microphone et votre historique de localisation, on se pose des questions, et on commence à comprendre que la gratuité, ça se paie toujours quelque part.
À retenir
- Les applis lampe torche demandent jusqu’à 77 permissions alors qu’elles n’en ont besoin d’aucune
- Votre localisation, vos contacts et vos SMS sont revendus aux annonceurs sans que vous le sachiez
- Il existe un moyen simple de reprendre le contrôle et même une solution native qui ne collecte rien
25 autorisations pour allumer une LED, vraiment ?
Des chercheurs en sécurité ont analysé les applications de lampe torche disponibles sur Android et découvert qu’elles réclament en moyenne 25 autorisations d’accès, certaines allant jusqu’à 77 permissions lors de l’installation. Relisez ce chiffre. Vingt-cinq. Pour allumer un flash. Un interrupteur physique sur votre salon n’en demande aucune.
Parmi les autorisations les plus troublantes : le droit d’enregistrer du son, réclamé par 77 applications ; l’accès au carnet de contacts, demandé par 180 applis ; et même la possibilité d’écrire dans vos contacts, exigée par 21 lampes torches. Ce n’est pas de la paranoïa. C’est noir sur blanc dans les données d’installation.
Le cas le plus documenté reste celui d’une application phare aux États-Unis, poursuivie par la FTC américaine. La commission fédérale du commerce américaine a établi que les créateurs de cette appli avaient trompé des dizaines de millions d’utilisateurs en collectant leur localisation et leurs identifiants d’appareils uniques, qu’ils partageaient ensuite avec des annonceurs publicitaires, parfois à l’encontre des instructions explicites des utilisateurs. Le bouton « Refuser » affiché dans l’application ? Il ne servait à rien : les boutons « Accepter » et « Refuser » de l’accord étaient arbitraires, les données étaient collectées dans tous les cas.
Le vrai business model derrière la torche gratuite
Lorsque les utilisateurs téléchargent une application, il n’y a généralement pas que les développeurs d’applications qui accèdent aux données, mais aussi les partenaires publicitaires avec lesquels ils travaillent pour monétiser. C’est là tout le mécanisme. L’appli est gratuite parce que vous êtes le produit, vos données de localisation, vos contacts, vos habitudes d’utilisation valent de l’argent sur les marchés publicitaires.
Les politiques de confidentialité des développeurs ne sont malheureusement pas inclusives, puisque dans de nombreux cas, d’autres politiques de confidentialité de tiers y sont reliées. : vous lisez (si vous lisez) les conditions générales de l’appli, mais pas celles de ses dix partenaires data. Une étude mondiale citée par des acteurs du secteur rapporte que 60,7 % des applications auraient un comportement intrusif, transmettant des données sans consentement explicite.
La nuance qui mérite d’être posée ici, et qui change tout : le fait qu’une application demande des autorisations dont elle n’a pas besoin ne signifie pas nécessairement qu’elle s’en sert à des fins malveillantes. Beaucoup de ces permissions excessives viennent de SDKs publicitaires intégrés à la va-vite par des développeurs indépendants qui veulent monétiser sans trop s’interroger sur ce que ces briques logicielles collectent réellement. Le résultat est le même pour vous, mais l’intention n’est pas toujours criminelle, juste négligente.
Comment vérifier (et nettoyer) les autorisations de vos applis
Les autorisations d’accès dans les systèmes d’exploitation mobiles permettent à l’utilisateur de choisir quelles fonctionnalités et données sont accessibles à chaque application, qu’il s’agisse des capteurs comme la localisation, le micro ou l’objectif photo, ou de la mémoire comme le stockage de fichiers, les photos, les vidéos ou le carnet de contacts. Ces réglages sont accessibles à tout moment, bien après l’installation.
Sur Android, le chemin est simple : Paramètres > Applications > sélectionnez l’appli > Autorisations. Sur iOS, Réglages > Confidentialité et sécurité. Android facilite désormais ces vérifications avec des tableaux de bord clairs et des alertes en cas de comportement suspect. Prendre le temps de révoquer des permissions inutiles après installation permet de limiter l’exposition des données personnelles.
Le test de cohérence à appliquer est brutal dans sa simplicité. Une lampe torche ou un petit jeu qui réclame l’accès aux photos mérite une vraie méfiance et un refus immédiat. Une lampe torche n’a aucune raison d’accéder aux contacts ou aux SMS. Si elle les réclame, c’est qu’elle va les utiliser, pas pour vous éclairer.
La bonne nouvelle, concrète : la plupart des téléphones incluent aujourd’hui une application lampe torche native, donc il n’y a probablement aucune raison d’en installer une autre. Depuis Android 5.0, vous pouvez activer la lampe de poche directement depuis les paramètres rapides, sans passer par une application tierce. Un glissement du doigt depuis le haut de l’écran, une icône torche : c’est tout. Zéro permission, zéro collecte, zéro surprise.
La CNIL a décidé de sévir, enfin
L’environnement mobile présente plus de risques que le web pour la confidentialité des données. Les applications mobiles ont en effet accès à des données plus variées et parfois plus sensibles, telles que la localisation en temps réel, les photographies ou encore des données de santé. Face à ce constat, les régulateurs ont commencé à bouger.
À partir du printemps 2025, la CNIL a déployé une campagne spécifique de contrôle des applications mobiles. Ces recommandations ont été mises à jour et publiées le 8 avril 2025. Les contrôles effectués ont mis en évidence un manque de transparence dans les informations fournies aux utilisateurs, y compris lors de la collecte du consentement pour l’usage de la géolocalisation. : les infractions sont réelles, documentées, et commencent à être sanctionnées.
La CNIL impose désormais aux éditeurs un principe clair : choisir, parmi les autorisations disponibles, celle permettant de remplir les objectifs poursuivis dans le respect du principe de minimisation, et quand l’OS en donne la possibilité, préférer la version la moins intrusive. En 2024, Google a par ailleurs bloqué 2,36 millions d’applications Android pour des raisons de sécurité. Le ménage a commencé, mais des milliers d’applications problématiques restent accessibles. La vigilance reste du côté de l’utilisateur — au moins jusqu’à ce que les contrôles automatisés deviennent vraiment systématiques.
Sources : blog.avast.com | cnil.fr