Votre rôle, en tant que développeur Google Play, est déterminant pour assurer la protection et la sécurité de votre application et de ses utilisateurs. Avec la multiplication des campagnes d'attaques d'ingénierie sociale, en particulier celles ciblant les populations vulnérables, il est plus important que jamais de prendre des mesures proactives pour protéger vos utilisateurs et l'intégrité de votre application.
Cet article présente deux indicateurs de sécurité Android et Play qui peuvent améliorer la sécurité de votre application : FLAG_SECURE
et REQUIRE_SECURE_ENV
. En comprenant et en utilisant efficacement ces indicateurs, vous pouvez contribuer à lutter contre les utilisations abusives ciblées et à protéger davantage l'écosystème de votre application.
FLAG_SECURE
FLAG_SECURE indique que votre application est conçue pour s'exécuter dans un environnement plus sécurisé, ce qui permet de réduire les failles potentielles, la surveillance et les attaques. Il s'agit d'un indicateur d'affichage déclaré dans le code d'une application afin de signaler que l'UI comporte des données sensibles et que celles-ci devraient uniquement s'afficher sur des surfaces sécurisées lorsque l'application est utilisée. Il indique aux autres applications et services que les données ne devraient pas apparaître sur les captures d'écran ni sur des surfaces non sécurisées. Le développeur déclare cet indicateur lorsque le contenu de son application ne doit pas être diffusé, affiché ou autrement transmis hors de l'application ou de l'appareil de l'utilisateur. Par exemple, si un écran de votre application contient des données sensibles qui pourraient présenter un risque de sécurité si elles étaient consultées par un tiers, comme dans une application d'assistance à distance, FLAG_SECURE
est un moyen de déclarer le caractère sensible de ces données et de proposer un environnement sécurisé. Pour des raisons de sécurité et de confidentialité, toutes les applications distribuées sur Google Play sont tenues de respecter l'indicateur FLAG_SECURE. Cela implique qu'elles ne doivent pas faciliter ni créer de solutions pour contourner les paramètres de l'indicateur dans d'autres applications.
REQUIRE_SECURE_ENV
Les attaques d'ingénierie sociale sont particulièrement préoccupantes pour les personnes âgées et d'autres groupes vulnérables, qui peuvent être plus sensibles à la manipulation et à la tromperie. Ces attaques consistent souvent à inciter les utilisateurs à divulguer des informations sensibles, comme des mots de passe ou informations financières, ou à télécharger du contenu malveillant.
En implémentant les indicateurs FLAG_SECURE
et REQUIRE_SECURE_ENV
, vous pouvez limiter les attaques d'ingénierie sociale dans votre application. Utilisés indépendamment ou simultanément, ces indicateurs permettent de se prémunir contre les failles que les pirates exploitent souvent pour accéder aux appareils ou aux données utilisateurs sensibles et à caractère personnel.
Protéger les utilisateurs âgés et les populations vulnérables contre les attaques d'ingénierie sociale
Les attaques d'ingénierie sociale sont particulièrement préoccupantes pour les personnes âgées et d'autres groupes vulnérables, qui peuvent être plus sensibles à la manipulation et à la tromperie. Ces attaques consistent souvent à inciter les utilisateurs à divulguer des informations sensibles, comme des mots de passe ou informations financières, ou à télécharger du contenu malveillant.
En implémentant les indicateurs FLAG_SECURE
et REQUIRE_SECURE_ENV
, vous pouvez limiter les attaques d'ingénierie sociale dans votre application. Utilisés indépendamment ou simultanément, ces indicateurs permettent de se prémunir contre les failles que les pirates exploitent souvent pour accéder aux appareils ou aux données utilisateurs sensibles et à caractère personnel.
Mesures de protection supplémentaires
En plus d'utiliser des indicateurs de sécurité, envisagez d'adopter ces mesures supplémentaires pour protéger vos utilisateurs contre les attaques d'ingénierie sociale :
- Informez les utilisateurs sur les tactiques d'ingénierie sociale : avertissez-les de façon claire et concise dans votre application au sujet des techniques d'ingénierie sociale courantes, comme les escroqueries par hameçonnage et les faux appels d'assistance.
- Implémentez des mécanismes d'authentification sécurisés : utilisez des méthodes d'authentification robustes, comme l'authentification à deux facteurs, pour empêcher tout accès non autorisé aux comptes utilisateur.
- Mettez régulièrement à jour votre application : appliquez les derniers correctifs de sécurité et corrections de bugs pour résoudre les failles potentielles qui pourraient être exploitées par des pirates informatiques.
Collaboration et formation continue
La protection des utilisateurs et la lutte contre les utilisations abusives sont des processus continus qui reposent sur la collaboration entre les développeurs, Google Play et la communauté axée sur la sécuritée en général. Pour vous tenir informé des bonnes pratiques de sécurité, consultez notre blog sur la sécurité.
En travaillant ensemble, nous pouvons créer un écosystème Android plus sûr et plus fiable pour tous les utilisateurs.
Questions fréquentes
Cliquez sur une question ci-dessous pour la développer ou la réduire.
L'utilisation de ces indicateurs aura-t-elle un impact négatif sur mes applications ? Combien de temps faudra-t-il pour l'implémentation ?Ces indicateurs sont conçus pour améliorer la sécurité et la confidentialité, et non pour nuire aux performances. Toutefois, si les fonctionnalités de votre application reposent fortement sur le partage de captures d'écran ou d'enregistrements d'écran, l'utilisation de FLAG_SECURE
peut empêcher les utilisateurs de capturer ces éléments visuels sur ces pages spécifiques. Dans ce cas, il est important de trouver le bon équilibre entre l'expérience utilisateur et les besoin de sécurité. De plus, certaines personnalisations ou extensions d'applications tierces peuvent s'appuyer sur des méthodes de capture d'écran qui pourraient être affectées par ces indicateurs. Si votre application intègre de tels outils, nous vous recommandons de tester la compatibilité.
Le processus d'implémentation est généralement simple et rapide. Il suffit habituellement d'ajouter quelques lignes de code aux pages ou activités pour lesquelles vous souhaitez appliquer les indicateurs. La durée exacte dépend de la complexité de votre application et du nombre de pages concernées.
FLAG_SECURE
est un indicateur au niveau de la fenêtre qui, lorsqu'il est défini, indique que le contenu de la fenêtre doit être traité comme étant sécurisé, ce qui l'empêche d'apparaître sur les captures d'écran ou sur des écrans non sécurisés. REQUIRE_SECURE_ENV
indique aux autres applications que votre application doit s'exécuter dans un environnement sécurisé. FLAG_SECURE
et REQUIRE_SECURE_ENV
sont des indicateurs de sécurité qui peuvent être utilisés pour protéger les applications et les utilisateurs Android contre les utilisations abusives et les attaques.
Lorsqu'une application bancaire utilise FLAG_SECURE
sur son écran de connexion, une fenêtre spéciale est créée pour protéger les informations sensibles comme les identifiants de connexion de l'utilisateur. En règle générale, cette protection permet d'empêcher au contenu de la fenêtre de s'afficher sur des écrans non sécurisés ou de faire l'objet de captures d'écrans, d'enregistrements ou de tentatives de consultation à distance. Ainsi, au lieu de voir les identifiants d'un utilisateur, vous verrez peut-être une zone vide sur ces types d'écrans.
Les applications qui traitent des données utilisateur sensibles et à caractère personnel (comme les informations financières), par exemple. Typiquement, les applications bancaires utilisent fréquemment FLAG_SECURE
. Les applications particulièrement vulnérables aux utilisations abusives, comme celles qui ciblent les personnes âgées ou les populations vulnérables, devraient également envisager d'utiliser l'indicateur REQUIRE_SECURE_ENV
.
Pour implémenter l'indicateur FLAG_SECURE, ajoutez la ligne suivante à votre fichier AndroidManifest.xml :
XML
<activity android:name=".MyActivity"
android:exported="true"
android:windowSoftInputMode="adjustPan">
<intent-filter>
<action android:name="android.intent.action.MAIN" />
<category android:name="android.intent.category.LAUNCHER" />
</intent-filter>
</activity>
Pour implémenter l'indicateur REQUIRE_SECURE_ENV
, ajoutez la ligne suivante à votre fichier AndroidManifest.xml :
XML
<manifest ...>
<application ...>
…
<property android:name="REQUIRE_SECURE_ENV" android:value="1" />
…
</application>
</manifest>