Logiciels malveillants

Notre règlement concernant les logiciels malveillants est simple : le Google Play Store et l'ensemble de l'écosystème Android doivent être dénués de tout comportement (ou logiciel) malveillant, de même que les appareils des utilisateurs. Par ce principe fondamental, nous nous efforçons d'offrir un écosystème Android sûr aux utilisateurs et à leurs appareils Android.

Le terme "logiciel malveillant" désigne tout code susceptible de faire courir un risque à l'utilisateur, à ses données ou à son appareil. Les logiciels malveillants incluent, sans s'y limiter, les applications potentiellement dangereuses (PHA, Potentially Harmful Application), ainsi que les fichiers binaires ou les modifications de framework, qui se classent en différentes catégories telles que les chevaux de Troie, l'hameçonnage et les logiciels espions. Nous mettons régulièrement à jour ces catégories et en ajoutons de nouvelles.

Même s'ils ne sont pas tous du même type et ont des fonctionnalités diverses, les logiciels malveillants ont généralement l'un des objectifs suivants :

  • Compromettre l'intégrité de l'appareil de l'utilisateur
  • Prendre le contrôle de l'appareil de l'utilisateur
  • Permettre l'exécution d'opérations contrôlées à distance afin qu'un pirate informatique puisse accéder à l'appareil infecté, l'utiliser ou l'exploiter de toute autre manière
  • Transmettre des données à caractère personnel ou des identifiants depuis l'appareil sans en informer correctement l'utilisateur ni obtenir son autorisation
  • Propager du spam ou des commandes depuis l'appareil infecté pour affecter d'autres appareils ou réseaux
  • Escroquer l'utilisateur

Une application, un fichier binaire ou une modification de framework peuvent être potentiellement dangereux, et par conséquent susciter un comportement malveillant, même s'ils n'ont pas été conçus dans ce but. En effet, leur fonctionnement peut varier selon divers facteurs. Par conséquent, ce qui est dangereux pour un certain appareil Android peut être absolument inoffensif pour un autre appareil Android. Par exemple, un appareil équipé de la dernière version d'Android n'est pas affecté par les applications dangereuses qui utilisent des API obsolètes pour susciter un comportement malveillant, tandis qu'un appareil équipé d'une version très ancienne d'Android peut être vulnérable. Les applications, les fichiers binaires et les modifications de framework sont signalés en tant que logiciels malveillants ou PHA (applications potentiellement dangereuses) s'ils présentent un risque évident pour certains appareils et utilisateurs Android, ou pour l'ensemble d'entre eux.

Les catégories de logiciels malveillants ci-dessous reflètent notre conviction fondamentale que les utilisateurs doivent comprendre comment leur appareil est exploité et promouvoir un écosystème sûr qui favorise une innovation forte et une expérience utilisateur fiable.

Pour plus d'informations, consultez le site Google Play Protect.

TOUT RÉDUIRE TOUT DÉVELOPPER

 

Backdoor (porte dérobée)

Code qui permet l'exécution d'opérations indésirables contrôlées à distance et potentiellement dangereuses sur l'appareil.

Ces opérations peuvent susciter un comportement qui, s'il s'exécutait automatiquement, classerait l'application, le fichier binaire ou la modification de framework dans l'une des autres catégories de logiciels malveillants. En général, le terme "backdoor" décrit la manière dont une opération potentiellement dangereuse peut s'exécuter sur un appareil. Par conséquent, il ne correspond pas à part entière à une catégorie comme la facturation frauduleuse ou les logiciels espions commerciaux. C'est pourquoi Google Play Protect traite dans certains cas un sous-ensemble de backdoors comme une faille.

 

Facturation frauduleuse

Code qui facture automatiquement l'utilisateur de manière délibérément trompeuse.

La facturation frauduleuse sur mobile se divise en trois catégories : fraude aux SMS, fraude aux appels et fraude aux contenus payants.

Fraude aux SMS
Code qui facture les utilisateurs pour envoyer des SMS surtaxés sans leur autorisation, ou qui tente de dissimuler ses activités d'envoi de SMS en masquant les accords de divulgation ou les SMS de notification de frais ou de confirmation d'abonnement envoyés à l'utilisateur par l'opérateur mobile.

Certains types de code divulguent le fait que des SMS sont envoyés, mais ils introduisent d'autres comportements qui facilitent la fraude aux SMS. Par exemple, ils peuvent masquer certaines parties d'un accord de divulgation ou les rendre illisibles, et supprimer de manière conditionnelle les SMS de notification de frais ou de confirmation d'abonnement envoyés à l'utilisateur par l'opérateur mobile.

Fraude aux appels
Code qui facture les utilisateurs en passant des appels vers des numéros surtaxés sans leur autorisation.

Fraude aux contenus payants
Code qui trompe les utilisateurs afin qu'ils achètent du contenu ou s'y abonnent en étant facturés par leur opérateur mobile.

La fraude aux contenus payants inclut tous les types de facturation autres que les SMS et appels surtaxés. Par exemple, elle peut concerner la facturation directe par l'opérateur, les points d'accès sans fil (WAP, Wireless Access Point) et le transfert de crédit mobile. La fraude WAP est l'un des types de fraude aux contenus payants les plus fréquents. Elle peut consister à tromper les utilisateurs afin qu'ils cliquent sur un bouton dans une WebView transparente chargée de manière silencieuse. Cette action déclenche la souscription d'un abonnement. Le SMS ou l'e-mail de confirmation sont souvent piratés pour que les utilisateurs ne remarquent pas la transaction financière.

 

Logiciel de traque

Code qui recueille des données sensibles ou à caractère personnel depuis l'appareil et les transmet à un tiers (entreprise ou personne physique) à des fins de surveillance.

Les applications doivent afficher un communiqué visible concernant l'utilisation des données et obtenir le consentement exigé par le Règlement sur les données utilisateur.

Consignes relatives aux applications de surveillance

Seules sont acceptées les applications exclusivement conçues et commercialisées pour la surveillance d'autrui (par exemple, pour permettre aux parents de surveiller leurs enfants ou à une entreprise de superviser ses employés), à condition de respecter entièrement les exigences décrites ci-dessous. Ces applications ne peuvent pas servir à suivre l'activité d'une autre personne (un conjoint, par exemple) même si celle-ci en est consciente et avec son autorisation, indépendamment de l'affichage ou non d'une notification permanente. Ces applications de surveillance doivent présenter l'indicateur de métadonnées "IsMonitoringTool" dans leur fichier manifeste, afin de se déclarer comme telles.

Les applications de surveillance doivent respecter les exigences suivantes :

  • Elles ne doivent pas être présentées comme des solutions d'espionnage ni de surveillance secrète.
  • Elles ne doivent pas masquer ni dissimuler leur activité de surveillance, ni tenter de tromper l'utilisateur sur cette fonctionnalité.
  • Elles doivent présenter une notification permanente lorsqu'elles sont exécutées, ainsi qu'une icône permettant de les identifier clairement.
  • Elles doivent déclarer leurs fonctionnalités de surveillance et de suivi dans leur description sur le Google Play Store.
  • Les applications (et leurs fiches sur Google Play) ne doivent fournir aucun moyen d'accéder à des fonctionnalités allant à l'encontre des présentes conditions, ni d'activer de telles fonctionnalités. Par exemple, elles ne doivent pas contenir de liens vers un APK non conforme hébergé en dehors de Google Play.
  • Elles doivent se conformer à l'ensemble des lois applicables. Vous êtes seul responsable de l'évaluation de la légalité de votre application sur le marché ciblé.
Pour en savoir plus, reportez-vous à l'article Utiliser l'indicateur isMonitoringTool du centre d'aide.

 

Déni de service (DoS)

Code qui exécute une attaque par déni de service (DoS) ou fait partie d'une attaque DoS distribuée visant d'autres systèmes et ressources, le tout à l'insu de l'utilisateur.

Par exemple, une telle attaque peut consister à envoyer un grand nombre de requêtes HTTP de façon à imposer une charge excessive aux serveurs distants.

 

Programmes de téléchargement dangereux

Code qui n'est pas potentiellement dangereux en soi, mais qui télécharge d'autres PHA.

Le code peut être un programme de téléchargement dangereux dans les cas suivants :

  • Il existe des raisons de croire qu'il a été créé dans le but de propager des PHA, et qu'il en a téléchargées ou qu'il contient du code pouvant télécharger et installer des applications.
  • L'observation d'au moins 500 téléchargements d'applications par ce programme révèle que 5 % d'entre eux ou plus concernent des PHA (soit 25 téléchargements de PHA observés).

Les principaux navigateurs et applications de partage de fichiers ne sont pas considérés comme des programmes de téléchargement dangereux tant qu'ils remplissent les deux conditions suivantes :

  • Ils ne lancent pas de téléchargements sans l'intervention de l'utilisateur.
  • Les téléchargements de PHA sont exécutés à la demande et avec l'autorisation des utilisateurs.

 

Menace non-Android

Code qui contient des menaces non-Android.

De telles applications ne peuvent pas nuire à l'appareil Android ni à son utilisateur, mais elles incluent des composants potentiellement dangereux pour d'autres plates-formes.

 

Hameçonnage

Code qui donne l'impression de provenir d'une source fiable et qui demande à l'utilisateur de lui communiquer ses identifiants d'authentification ou ses informations de facturation afin de les envoyer à un tiers. Cette catégorie inclut également tout code qui intercepte les identifiants de l'utilisateur en cours de transmission.

L'hameçonnage cible généralement les identifiants bancaires, les numéros de carte de crédit et les identifiants de compte en ligne permettant d'accéder à des réseaux sociaux et à des jeux.

 

Utilisation abusive de l'élévation des privilèges

Code qui compromet l'intégrité du système en contournant le bac à sable de l'application, en obtenant une élévation des privilèges, ou en modifiant ou désactivant l'accès aux principales fonctionnalités de sécurité.

Exemples :

  • Application qui ne respecte pas le modèle d'autorisations Android ou qui vole les identifiants (tels que les jetons OAuth) d'autres applications
  • Application qui utilise des fonctionnalités de manière abusive afin qu'il soit impossible de la désinstaller ou de l'arrêter
  • Application qui désactive SELinux

Les applications d'élévation des privilèges qui passent les appareils en mode root sans l'autorisation de l'utilisateur sont classées parmi les applications d'activation du mode root.

 

Rançongiciel

Code qui prend le contrôle partiel ou étendu d'un appareil ou de ses données, et qui exige que l'utilisateur effectue un paiement ou une certaine action pour récupérer ce contrôle.

Certains rançongiciels chiffrent les données de l'appareil et exigent un paiement pour les déchiffrer, et/ou exploitent les fonctionnalités d'administration de l'appareil pour empêcher tout utilisateur standard de les supprimer. Exemples :

  • Verrouiller l'accès de l'utilisateur à l'appareil et exiger de l'argent pour lui redonner le contrôle
  • Chiffrer les données de l'appareil et exiger un paiement, soi-disant pour les déchiffrer
  • Exploiter les fonctionnalités du gestionnaire de règles de l'appareil et bloquer toute suppression par l'utilisateur

Le code distribué avec l'appareil et ayant pour principal objectif de gérer un appareil subventionné peut être exclu de la catégorie des rançongiciels, à condition qu'il remplisse correctement les exigences de verrouillage et de gestion sécurisés, et qu'il informe correctement l'utilisateur et obtienne son autorisation.

 

Activation du mode root

Code qui active le mode root sur l'appareil.

Il existe une différence entre les codes d'activation du mode root malveillants et non malveillants. Par exemple, les applications d'activation du mode root non malveillantes informent préalablement l'utilisateur qu'elles vont activer le mode root sur leur appareil, et elles n'exécutent aucune opération potentiellement dangereuse correspondant à d'autres catégories de PHA.

Les applications d'activation du mode root malveillantes n'informent pas l'utilisateur avant d'activer le mode root, ou bien elles l'informent, mais exécutent également des opérations qui caractérisent d'autres catégories de PHA.

 

Spam

Code qui envoie des messages non sollicités aux contacts de l'utilisateur ou qui se sert de l'appareil pour relayer du spam.

 

Logiciel espion

Un logiciel espion est une application, un code ou un comportement malveillant qui collecte, exfiltre ou partage des données sur l'utilisateur ou l'appareil sans lien avec une fonctionnalité conforme aux règles.

Les codes ou les comportements malveillants assimilables au fait d'espionner l'utilisateur ou d'exfiltrer des données sans en informer correctement l'utilisateur ni obtenir son autorisation sont également considérés comme des logiciels espions.

Vous trouverez ci-dessous plusieurs exemples de violation par un logiciel espion (liste non exhaustive) :

  • Enregistrement audio ou enregistrement des appels reçus sur le téléphone
  • Vol des données d'une application
  • Application (comme un SDK) avec du code tiers malveillant transmettant des données depuis l'appareil sans que l'utilisateur s'y attende, ou sans en informer l'utilisateur ni obtenir son autorisation

Toutes les applications doivent aussi respecter l'intégralité du Règlement du programme Google Play pour les développeurs, y compris les règles sur les données de l'utilisateur ou de l'appareil, comme les exigences sur les logiciels mobiles indésirables, les données utilisateur, les autorisations et les API qui permettent d'accéder à des informations sensibles et les SDK.

 

Cheval de Troie

Code qui semble inoffensif, par exemple parce qu'il se présente comme un simple jeu, mais qui exécute des actions indésirables à l'encontre de l'utilisateur.

Cette classification est généralement utilisée en conjonction avec d'autres catégories de PHA (application potentiellement dangereuse). Un cheval de Troie associe un composant inoffensif à un composant dangereux caché. Par exemple, il peut s'agir d'un jeu qui envoie des SMS surtaxés en arrière-plan depuis l'appareil, à l'insu de l'utilisateur.

 

Remarque concernant les applications inhabituelles

Les applications rares et nouvelles peuvent être classifiées comme inhabituelles si Google Play Protect ne dispose pas de suffisamment d'informations pour confirmer qu'elles sont sans danger. Cela ne signifie pas qu'elles sont nécessairement dangereuses, mais elles ne peuvent pas être considérées comme inoffensives sans un examen approfondi.

 

Remarque concernant la catégorie "Backdoor (porte dérobée)"

La classification dans la catégorie "Backdoor (porte dérobée)" des logiciels malveillants dépend du comportement du code. Pour entrer dans cette catégorie, le code doit permettre un comportement qui, s'il s'exécutait automatiquement, le classerait dans l'une des autres catégories de logiciels malveillants. Par exemple, si une application permet le chargement dynamique de code et que le code en question extrait les SMS, l'application est considérée comme une backdoor.

En revanche, si une application permet l'exécution de code arbitraire et que nous n'avons aucune raison de croire que cette exécution a pour but de susciter un comportement malveillant, nous considérons que cette application présente une faille et non qu'il s'agisse d'une backdoor, et nous demandons à son développeur de lui appliquer un correctif.

 

Maskware

Application qui utilise diverses techniques d'évasion afin de proposer à l'utilisateur des fonctionnalités d'application différentes ou factices. Ces applications se font passer pour des applications ou des jeux légitimes qui semblent inoffensifs pour les plates-formes de téléchargement d'applications et utilisent des techniques comme l'obscurcissement, le chargement dynamique de code ou les techniques de dissimulation (cloaking) pour cacher du contenu malveillant.

Les logiciels maskware sont semblables aux autres catégories de PHA (applications potentiellement dangereuses), en particulier le cheval de Troie, la principale différence étant les techniques utilisées pour obscurcir l'activité malveillante.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Essayez les solutions ci-dessous :

Contactez-nous Donnez-nous plus de détails pour que nous puissions vous aider
true
Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
13023309605880479954
true
Rechercher dans le centre d'aide
true
true
true
true
true
92637
false
false