Shelter, isolez les applications espionnes sur Android

Qui n’a jamais hésité à installer une application dont il n’a pas confiance sur son smartphone Android ? A raison car une application peut fonctionner en arrière plan, a accès à Internet en permanence et suivant les permissions dont elle dispose peut exfiltrer vos données personnelles (position, photos, identifiants, fichiers, enregistrements caméra & micro, etc…)

Regardons ensemble les garde fous proposés par Android et comment l’application Shelter peut vous être utile pour protéger vos données personnelles.

Permissions

Vous connaissez sûrement le systeme des permissions demandées par les applications. Sous Android 7, il fallait les accepter en bloc à l’installation (dont la fameuse lampe torche qui a besoin de votre position et de votre carnet de contact) pour pouvoir lancer l’applciation. Depuis Android 8, chaque permission est demandée séparément à l’exécution de l’application et donc vous pouvez en bloquer certaines quitte à se passer de quelques fonctionnalités. Il faut cependant savoir que la connexion Internet est toujours autorisée par défaut. Donc tout permission permettant d’accéder à vos données personnelles (photos, fichiers, contact, position, etc…) peut servir à exfiltrer ces données par Internet.

Fonctionnement en arrière plan

Il faut aussi savoir que les applications Android peuvent se redémarrer de manière invisible quand elles veulent. Les utilisateurs croient souvent qu’en fermant la fenêtre de l’application Android, celle si s’arrête. C’est faux. Fermer la partie visible de l’application n’est gage de rien. Même « forcer l’arrêt » ne l’empêche pas de redémarrer dans les quelques secondes qui suivent si l’application l’a décidé.

Pour expliquer cela simplement il faut savoir qu’une application Android est composée de « services » qui tournent sans notification visuelles pour l’utilisateur et contiennent le cœur fonctionnel de l’application et d’ « activités » qui sont les panneaux d’interfaces graphiques que voit l’utilisateur. Quand l’utilisateur clique sur un bouton de l’interface de l’application, il lance l’exécution d’un « service ». Mais le click n’est pas le seul « évènement » possible pour démarrer ces services. On peut programmer que le service démarre par exemple toutes 15min, quand on branche le chargeur du smartphone, quand on passe en 4G (afin d’éviter une sonde réseau par exemple), quand on se déplace à vitesse rapide, quand on est hors de chez soi, au démarrage d’Android, etc… et cela même écran en veille.

Pour certaines permissions critiques comme l’utilisation de la caméra ou du microphone, il n’y a même pas de témoin visuel affiché. (Depuis Android 9, il y a un témoin quand l’écran est allumé. Ce n’est que sous Android 10 que l’utilisateur pourra empêcher leur utilisation écran en veille).

Bref, il y a plein de moyen de lancer un service sans se faire voir de l’utilisateur.

La seule manière de garder une application fermée est de la « désactiver » (c’est possible depuis la liste des applications dans paramètres) mais dans ce cas, même l’icone de lancement de l’application est cachée :-D

Profils utilisateur multiples

Android permet d’avoir plusieurs utilisateurs (« profils ») sur le même smartphone avec chacun leur données et applications séparées. Cependant les applications de tous les utilisateurs fonctionnent en arrière plan simultanément. Donc si c’est pratique pour isoler plusieurs profils de données (perso/pro par exemple), ca n’empêche pas un suivi continu de votre position, adresse IP, micro, etc… par les applications peu regardantes de votre vie privée (Google, Microsoft, Facebook, etc… qui étrangement sont celles qui font le plus de communication pour vous persuader du contraire).

Profil professionnel

Il existe cependant un profil spécial appelé « profil professionnel » qui à la différence du « profil » utilisateur classique permet d’administrer tout ce qui se passe dans le profil.

C’est là qu’intervient Shelter qui propose de désactiver/réactiver à la volée les applications qui se trouvent dans ce profil.

Vous pouvez faire en sorte de « geler » (désactiver) automatiquement certaines applications quand vous mettez votre smartphone en veille (ce qui se fait souvent d’un clic sur le bouton power ou quand vous le laissez inactif quelques minutes).

Je trouve cela très pratique. Combiné à l’isolation des données du fait que c’est un profil séparé, ça me permet de m’assurer que mes applis louches sont actives uniquement quand j’en ai besoin.

16 réactions sur “ Shelter, isolez les applications espionnes sur Android ”

  1. Ping Shelter, isolez les applications espionnes sur Android - My Tiny Tools

  2. Sandro

    Rooter son smartphone et passer d’une Rom stock à LineageOS permet de bien se protéger. Si root, Afwall+ est excellent pour limiter les connexions internet. D’autres applications permettent de désactiver des services ou permissions(AppOppX pour les permissions) ;-)
    Attention rooter comporte des risques…

  3. Sandro

    Merci Tuxicoman pour l’explication de Shelter !

  4. Tuxicoman

    Le probleme c’est que parfois t’as besoin que l’appli accède à internet. Mais en meme temps tu ne veux pas qu’elle collecte ton IP tout le temps.
    Et ben va trouver un moyen de l’empêcher de démarrer ses services…
    J’ai testé le système de déactivation des permissions de LineageOS et de mes tests, ca ne fonctionne pas.

  5. Sandro

    C’est sûr, c’est compliqué. D’où l’intérêt de bien choisir ses applications pour concilier applications mobiles et vie privée. Il est possible de surveiller le réseau pour voir où ce connecte l’application( pisteurs ) pour ensuite les bloquer grâce entre autre à Adaway (root nécessaire) ou Mitm.
    Une astuce que tu connais certainement: Pas forcément besoin de télécharger une application pour accéder à un service, mais utiliser le navigateur et créer un raccourci sur la page d’accueil ;-)

  6. Damien

    Je n’ai pas bien compris. Shelter crée un profil profeessionel ou je dois créer un profil professionel puis utiliser shelter ?

  7. Damien

    Est-ce que Shelter marche sous LineageOS ?

  8. Tuxicoman

    @Damien : Shelter va le créer la première fois que tu démarres l’appli.

    @Sandro : tu peux avoir besoin que l’application communique… mais pas tout le temps. Tu peux avoir besoin que l’application tourne en arrière plan, mais pas tout le temps. L’exemple flagrant c’est l’application de localisation de Google qui collecte les réseaux Wifi à portée meme quand t’es en mode avion. Et quand tu as le réseau, calcule tes positions passées à partir de ces infos… On ne peut pas bloquer cette appli sans utiliser un OS sans GoogleApps, mais une autre application pourrait faire quelque chose de similaire et tu vas vraiment galérer à vérifier cela avec ton MITM sur des données chiffrées…

  9. Nicoledit

    Personnellement, en root, j’utilise XPrivacyLua pour la gestion des accès aux données personnelles et Afwall+ pour gérer l’accès à internet. Avec ça, je suis relativement serin…

  10. Jerodi

    Merci pour ton article. Quand on démarre Shelter la première fois, on reçoit des mises en garde par rapport au ROM.

    Faut-il être prudent aussi sur un smartphone non rooté ?

    Merci !

  11. LibreNotAlwaysSecure

    > Rooter son smartphone et passer d’une Rom stock à LineageOS permet de bien se protéger.

    t’as lu le code source? qui bossent sur LineageOS?

  12. sancho

    Bonjour,
    grâce à votre article j’ai mis shelter avec total launcher sous /e/OS.
    Cependant j’ai un soucis avec les notifications des applications que j’ai mis sur shelter . notamment whatsapp et messenger . elle n’apparaissent pas tout le temps sur mon téléphone . il faut que je rentre dans l’application pour qu’elle s’affiche. Auriez vous une idée ? je n’ai pas activé AutoFreeze pour ces applications .
    merci d’avance

  13. Hervé S.

    Merci Tuxicoman! Je réagis tardivement mais je confirme que j’utlise Shelter précisément pour l’usage que tu décris, et sous /e/OS en outre (qui remplace la majeure partie des google apps par des équivalents open source, y compris localisation, etc.)

  14. montaine

    je pense avoir réussi a réinstaller Whatsapp dans le frigo que propose Shelter. J’ai une icône spéciale pour la lancer et cette application ne pioche que dans un carnet d’adresse minimaliste qui est également dans le « bac à sable » que j’appelle le frigo.

    Mais le stade suivant sera un smartphone sous /e/ OS

  15. montaine

    curieusement je retrouve au moins 5 sites qui décrivent exactement de la même façon SHELTER, mais aucun manuel très précis. Par exemple la façon exacte dont fonctionne le GEL automatique

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.