Protéger votre appli et lutter contre les escroqueries avec les indicateurs de sécurité FLAG_SECURE et REQUIRE_SECURE_ENV

À titre de développeur Google Play, vous jouez un rôle essentiel pour assurer la sécurité de votre appli et de ses utilisateurs. Avec la montée des campagnes d'escroquerie par piratage psychologique qui ciblent en particulier les populations vulnérables, il est plus important que jamais de prendre des mesures proactives pour protéger vos utilisateurs et l'intégrité de votre appli.

Cet article présente deux indicateurs de sécurité utiles pour Android et Play qui peuvent améliorer la sécurité de votre appli : FLAG_SECURE et REQUIRE_SECURE_ENV. En comprenant et en utilisant efficacement ces indicateurs, vous pouvez contribuer à lutter contre les escroqueries ciblées et à mieux protéger l'écosystème de votre appli.

FLAG_SECURE

FLAG_SECURE signale que votre appli est censée s'exécuter dans un environnement plus sécurisé, atténuant ainsi les vulnérabilités, la surveillance et les attaques potentielles. Il s'agit d'un indicateur d'affichage déclaré dans le code d'une appli pour indiquer que son interface utilisateur contient des données confidentielles destinées à être limitées à une surface sécurisée pendant l'utilisation de l'appli. Il signale aux autres applis et services que les données ne doivent pas apparaître dans les captures d'écran ou être visualisées sur des écrans non sécurisés. Les développeurs déclarent cet indicateur lorsque le contenu de l'appli ne doit pas être diffusé, visualisé ni autrement transmis en dehors de l'appli ou de l'appareil des utilisateurs. Par exemple, si un écran de votre appli contient des données confidentielles pouvant présenter un risque de sécurité si elles étaient était consulté par un tiers, tel qu'une appli d'assistance à distance, FLAG_SECURE est un moyen de déclarer cet enjeu de confidentialité et d'aider à fournir un environnement sécurisé.  Pour des raisons de sécurité et de confidentialité, toutes les applis distribuées sur Google Play sont tenues de respecter la déclaration de l'indicateur FLAG_SECURE, ce qui implique de ne pas faciliter ni de créer de solutions de contournement des paramètres de l'indicateur dans d'autres applis.

REQUIRE_SECURE_ENV

Les attaques de piratage psychologique sont particulièrement préoccupantes lorsqu'elles ciblent la population âgée et d'autres groupes vulnérables qui peuvent être plus susceptibles d'être manipulés et trompés. Ces attaques consistent souvent à inciter les utilisateurs à révéler des informations confidentielles, telles que des mots de passe ou des informations financières, ou à télécharger du contenu malveillant.

En implémentant les indicateurs FLAG_SECURE et REQUIRE_SECURE_ENV, vous pouvez contribuer à atténuer les attaques de piratage psychologique dans votre appli. Utilisés indépendamment ou simultanément, ces indicateurs permettent de se protéger des vulnérabilités souvent exploitées par les attaquants pour accéder aux données personnelles et sensibles des utilisateurs ou à leurs appareils.

Protéger les utilisateurs âgés et les populations vulnérables contre les escroqueries par piratage psychologique

Les attaques de piratage psychologique sont particulièrement préoccupantes lorsqu'elles ciblent la population âgée et d'autres groupes vulnérables qui peuvent être plus susceptibles d'être manipulés et trompés. Ces attaques consistent souvent à inciter les utilisateurs à révéler des informations confidentielles, telles que des mots de passe ou des informations financières, ou à télécharger du contenu malveillant.

En implémentant les indicateurs FLAG_SECURE et REQUIRE_SECURE_ENV, vous pouvez contribuer à atténuer les attaques de piratage psychologique dans votre appli. Utilisés indépendamment ou simultanément, ces indicateurs permettent de se protéger des vulnérabilités souvent exploitées par les attaquants pour accéder aux données personnelles et sensibles des utilisateurs ou à leurs appareils.

Mesures de protection supplémentaires

En plus d'utiliser des indicateurs de sécurité, envisagez d'incorporer les mesures supplémentaires suivantes pour protéger vos utilisateurs contre les escroqueries par piratage psychologique :

  • Informer les utilisateurs des tactiques de piratage psychologique : fournissez des avertissements clairs et concis dans votre appli sur les techniques courantes de piratage psychologique, telles que les escroqueries par hameçonnage et les faux appels d'assistance.
  • Implémenter des mécanismes d'authentification sécurisés : utilisez des méthodes d'authentification robustes, telles que l'authentification à deux facteurs, pour empêcher tout accès non autorisé aux comptes d'utilisateurs.
  • Mettre régulièrement à jour votre appli : gardez votre appli à jour avec les derniers correctifs de sécurité et les dernières corrections de bogues pour remédier à toute vulnérabilité potentielle qui pourrait être exploitée par des attaquants.

Collaboration et sensibilisation continue

La lutte contre les escroqueries et la protection des utilisateurs sont un processus continu qui nécessite une collaboration entre les développeurs, Google Play et l'ensemble de la communauté de sécurité. Restez informé des pratiques exemplaires en matière de sécurité en lisant notre blogue sur la sécurité.

En travaillant ensemble, nous pouvons créer un écosystème Android plus sécurisé et plus fiable pour tous les utilisateurs.

Foire aux questions

Cliquez sur une question ci-dessous pour la développer ou la réduire.

L'utilisation de ces indicateurs aura-t-elle une incidence négative sur mes applis? Combien de temps prendra la mise en œuvre?

Ces applis sont conçues pour améliorer la sécurité et la confidentialité, et non pour entraver les performances. Toutefois, si les fonctionnalités de votre appli reposent en grande partie sur le partage de captures d'écran ou d'enregistrements d'écran, le paramètre FLAG_SECURE peut empêcher les utilisateurs de capturer ces visuels sur ces pages précises. Dans ce cas, il est important d'équilibrer les besoins en matière de sécurité et l'expérience utilisateur. De plus, certaines personnalisations ou extensions d'applis tierces peuvent s'appuyer sur des méthodes de capture d'écran susceptibles d'être affectées par ces indicateurs. Si votre appli s'intègre à de tels outils, cela vaut la peine de tester leur compatibilité.

Le processus d'implémentation est généralement rapide et simple. Il implique généralement l'ajout de quelques lignes de code aux pages ou aux activités pertinentes auxquelles vous souhaitez appliquer les indicateurs. La durée exacte dépend de la complexité de votre appli et du nombre de pages impliquées.

Quelle est la différence entre les indicateurs FLAG_SECURE et REQUIRE_SECURE_ENV?

FLAG_SECURE est un indicateur au niveau de la fenêtre qui, lorsque défini, indique que le contenu de la fenêtre est sécurisé, empêchant ainsi qu'il apparaisse dans les captures d'écran ou soit visualisé sur des écrans non sécurisés tandis que REQUIRE_SECURE_ENV signale aux autres applis que votre appli doit s'exécuter dans un environnement sécurisé. FLAG_SECURE et REQUIRE_SECURE_ENV sont des indicateurs de sécurité qui peuvent être utilisés pour protéger les applis Android et leurs utilisateurs contre les escroqueries et les attaques.

Quel serait un exemple de fonctionnement prévu de FLAG_SECURE?

Lorsqu'une appli bancaire utilise FLAG_SECURE sur son écran de connexion, elle crée une fenêtre spéciale qui protège les informations confidentielles telles que les authentifiants de connexion de l'utilisateur. En général, cette protection permet de bloquer l'affichage du contenu de la fenêtre sur des écrans non sécurisés ou d'empêcher les captures d'écran, les enregistrements ou les tentatives de visualisation à distance. Ainsi, au lieu de voir les informations de connexion d'un utilisateur, vous pourriez simplement voir une zone vide sur ces types d'écrans.

Quels types d'applis peuvent utiliser les indicateurs FLAG_SECURE et REQUIRE_SECURE_ENV?

Un exemple d'applis susceptibles d'utiliser ces indicateurs sont les applis qui traitent des données personnelles et confidentielles des utilisateurs, telles que des informations financières. Les applis bancaires sont un exemple d'applis qui utilisent couramment FLAG_SECURE. Les applis particulièrement sujettes aux escroqueries, telles que les applis ciblant les populations âgées ou vulnérables, devraient également utiliser l'indicateur REQUIRE_SECURE_ENV.

L'utilisation de ces indicateurs aura-t-elle une incidence négative sur mes applis? Combien de temps prendra la mise en œuvre?

Pour implémenter l'indicateur FLAG_SECURE, ajoutez la ligne suivante à votre fichier AndroidManifest.xml :

XML

<activity android:name=".MyActivity"
          android:exported="true"
          android:windowSoftInputMode="adjustPan">
  <intent-filter>
    <action android:name="android.intent.action.MAIN" />
    <category android:name="android.intent.category.LAUNCHER" />
  </intent-filter>
</activity>

Pour implémenter l'indicateur REQUIRE_SECURE_ENV, ajoutez la ligne suivante à votre fichier AndroidManifest.xml :

XML

<manifest ...>
  <application ...>
        …

    <property android:name="REQUIRE_SECURE_ENV" android:value="1" />

    …


  •   </application>
    </manifest>

Cela a-t-il été utile?

Comment pouvons-nous améliorer cette page?

Besoin d'aide supplémentaire?

Essayez les étapes suivantes :

Communiquer avec nous Dites-nous-en plus et nous vous aiderons à y arriver
true
Rechercher
Effacer les termes de recherche
Fermer le champ de recherche
Menu principal
7859164277192752021
true
Rechercher dans le Centre d'aide
true
true
true
true
true
92637
false
false