En tant qu’utilisateur d’ Android, vous pensez peut-être qu’il est sans danger de télécharger des applications depuis le Google Play Store. C’est compréhensible, mais ce n’est pas tout à fait exact.

Des contrôles de sécurité rigoureux font du Play Store l’endroit le plus sûr pour obtenir des applications Android, mais il n’est pas totalement sans danger. La boutique d’applications de Google est une cible de choix tant pour les cybercriminels que pour les développeurs qui monétisent (et donc compromettent) vos données, et elle ne sera jamais à 100 % sans risque.

C’est pourquoi vous devez choisir vos applications avec discernement : en les évaluant avant de les télécharger, en contrôlant celles que vous avez déjà téléchargées et en sécurisant les données de votre appareil en cas de fuite de données.

Comment les applications malveillantes contournent Google

L’année dernière, Google a bloqué la publication de 1,75 million d’applications enfreignant ses politiques(nouvelle fenêtre) et a banni plus de 80 000 comptes de développeurs. Google Play Protect(nouvelle fenêtre), qui est intégré à la plupart des appareils Android, a bloqué 266 millions de tentatives d’installation risquées.

But Google ne peut pas tout faire. Les cybercriminels trouvent constamment des moyens de contourner les analyses de prépublication et de préinstallation de Google.

Stratégies populaires :

  • Soumettre des applications saines pour examen, puis déployer des activités malveillantes via des mises à jour à distance.
  • Masquer des applications malveillantes sous la forme d’applications utilitaires simples (et fonctionnelles), telles qu’un scanner de documents ou un lecteur de PDF.
  • Masquer des applications malveillantes sous la forme d’une application de sécurité ou d’un antivirus, un déguisement particulièrement sournois et efficace : si un utilisateur souhaite absolument résoudre un problème, il sera moins enclin à l’examiner de près avant de l’installer.

2 029 applications(nouvelle fenêtre) sont publiées chaque jour sur le Play Store. Il est donc inévitable que certaines applications malveillantes passent à travers les mailles du filet de Google. L’année dernière, Bitdefender a mis au jour une campagne de fraude publicitaire nommée Vapor(nouvelle fenêtre) qui impliquait au moins 331 applications malveillantes, dont certaines collectaient les identifiants et les données de carte de paiement des utilisateurs.

Ces applications ont été téléchargées plus de 60 millions de fois depuis le Play Store.

Les applications légitimes peuvent tout de même mettre vos données en danger

Les applications malveillantes ne sont pas les seuls dangers à surveiller sur le Play Store. Il existe également des applications légitimes qui collectent et stockent discrètement vos données personnelles et de suivi, et les partagent avec des tiers, tels que des réseaux publicitaires.

L’année dernière, NowSecure a testé 25 000 applications(nouvelle fenêtre) sur iOS et Android et a constaté que 75 % des applications iOS et 70 % des applications Android testées collectaient à la fois des données sensibles et des domaines de suivi.

Google autorise ces applications sur le Play Store car leurs développeurs divulguent ouvertement les données qu’ils collectent et pourquoi dans la section relative à la sécurité des données de la page produit de l’application.

Google a durci sa politique en 2025, bloquant 255 000 applications(nouvelle fenêtre) pour les empêcher d’obtenir un « accès excessif » à des données sensibles. Cela laisse des milliers d’applications non bloquées qui collectent des données dans le respect de la politique de Google, mais de manière bien plus excessive que ce à quoi les utilisateurs pourraient s’attendre.

Ce n’est pas seulement un problème de respect de la vie privée : c’est également dangereux. Des applications légitimes mais gourmandes en données partagent régulièrement les données des utilisateurs avec des SDK publicitaires et des partenaires d’analyse. Ces tiers peuvent ensuite transmettre ces données à des courtiers en données peu scrupuleux.

Chaque maillon de cette chaîne est un point de fuite potentiel. Si vos données sont compromises, vous ne le découvrirez peut-être que trop tard.

Ce qu’il faut surveiller : une liste de contrôle en cinq points

Il n’existe pas de liste noire officielle et à jour d’applications bannies (et qui devraient l’être) à laquelle vous pouvez vous référer.

Mais vous pouvez surveiller certains éléments pour identifier les applications risquées :

  1. Vérifiez la section relative à la sécurité des données : le développeur a-t-il expliqué quelles données il collecte et comment il les utilise ? Une section vide sur la sécurité des données est bien sûr un signal d’alarme important, tout comme une politique qui ne correspond pas aux fonctionnalités de l’application. Une application de lampe de poche ne devrait pas avoir besoin d’accéder à vos contacts.
  2. Lisez les autorisations lors de l’installation : une fois que vous avez installé une application, elle demande souvent à accéder à votre emplacement, à vos contacts, à votre espace de stockage, à votre emplacement et/ou à votre microphone. Parfois, cela est logique, mais d’autres fois, cela peut sembler excessif. Là encore, une application de fond d’écran a-t-elle besoin de connaître votre emplacement ?
  3. Vérifiez le nom et l’historique du développeur : le développeur est-il une entreprise identifiée avec d’autres applications publiées et une présence sur le web ? Ou s’agit-il d’un compte individuel avec cette seule application à son actif, sans historique pour apporter du contexte ? 
  4. Vérifiez si les avis sont réels : les faux avis ont tendance à apparaître selon des schémas évidents. Une vague d’avis cinq étoiles publiés sur une courte période est une tactique de manipulation connue. Recherchez des avis critiques parsemés d’avis positifs, ainsi qu’une grande variété de dates.
  5. Méfiez-vous des applications utilitaires gratuites : les déguisements les plus courants pour les applications malveillantes et les applications de collecte de données sont les applications gratuites de lampe de poche et de batterie, les applications de clavier, les éditeurs de photos gratuits, les applications météo demandant d’accéder à l’emplacement et les jeux financés par la publicité. Si une application est gratuite et que vous ne voyez pas comment sa fonction pourrait rapporter de l’argent à ses développeurs, la réponse est probablement que vos données constituent leur modèle de revenus.

Comment protéger vos données

Même en faisant preuve de vigilance, vous risquez tout de même de télécharger une application malveillante sur le Play Store. Cependant, avec les bonnes protections en place, vous pouvez limiter les dégâts que cette application peut causer.

Chiffrez votre connexion avec Proton VPN

Les applications malveillantes tentent souvent de transmettre vos données (notamment votre comportement de navigation, votre emplacement et les identifiants de votre appareil) via une connexion non chiffrée.

Voici Proton VPN : un VPN sécurisé(nouvelle fenêtre) qui

  • chiffre toutes les données envoyées et reçues par votre téléphone au niveau du réseau, ce qui rend la transmission et l’interception de votre comportement de navigation, de votre emplacement et des identifiants de votre appareil beaucoup plus difficiles ;
  • empêche la surveillance au niveau du réseau sur le réseau wifi public (un vecteur d’attaque courant(nouvelle fenêtre) pour les applications compromises) ; 
  • bloque les transmissions de données sur lesquelles s’appuient les SDK d’analyse (via le bloqueur de publicités et de traqueurs intégré NetShield(nouvelle fenêtre)), limitant ainsi les données que les développeurs peuvent partager avec des tiers ;

Protégez vos identifiants avec Proton Pass

Les applications malveillantes utilisent des enregistreurs de frappe invisibles et des fenêtres de hameçonnage pour voler vos identifiants de connexion. Cela peut être particulièrement préjudiciable si, comme beaucoup de personnes, vous réutilisez les mêmes mots de passe sur plusieurs comptes.

Proton Pass est un gestionnaire de mots de passe sécurisé qui répond à ces deux problèmes :

  • génère des mots de passe uniques pour chaque compte que vous créez, de sorte que si l’un d’entre eux est piraté, ils ne soient pas tous compromis ;
  • protège vos mots de passe, vos clés d’accès et vos cartes de paiement grâce à un chiffrement de bout en bout à accès zéro. Cela signifie que vos identifiants sont chiffrés sur votre appareil avant de le quitter, et que même Proton ne peut pas y accéder.

Sachez comment supprimer un logiciel malveillant

Si vous craignez que votre appareil ait été compromis, ou si vous souhaitez savoir ce qu’il faut surveiller le cas échéant, assurez-vous de connaître les signes indiquant que votre téléphone a été piraté.