Ce que vous saurez faire à la fin
- Auditer en moins de 15 minutes les permissions de toutes les apps installées sur votre smartphone Android ou iOS
- Comprendre la différence entre store officiel, store alternatif et sideloading, et savoir quand chacun est dangereux
- Activer la biométrie, le chiffrement local et les sauvegardes chiffrées sur votre appareil personnel ou professionnel
- Reconnaître une app malveillante avant installation grâce à 8 signaux concrets vérifiables en 2 minutes
- Configurer Wave, Orange Money et vos apps bancaires pour résister au vol et à la fraude
Durée : 2h. Pré-requis : smartphone Android 12+ ou iPhone iOS 16+, compte Google ou Apple ID actif, accès Wi-Fi pour téléchargements, papier et stylo pour noter les codes de récupération, idéalement un second appareil pour les tests, budget : 0 FCFA pour l’essentiel ; antivirus mobile premium optionnel 8 000 à 25 000 FCFA/an (Bitdefender Mobile Security, ESET Mobile).
Étape 1 — Cartographier les permissions sensibles
Toutes les permissions ne se valent pas. Voici les permissions à risque maximal qu’une app ne devrait demander que si elle en a réellement besoin :
| Permission | Risque si abusée | Apps légitimes |
|---|---|---|
| Localisation (GPS) | Suivi permanent, profil de vie | Cartes, météo, livraison, course |
| Microphone | Écoute conversations privées | Appels, dictée, enregistrement |
| Caméra | Photos discrètes, scans | Photos, scan QR, visio |
| Contacts | Vol carnet d’adresses | Messageries, email, gestion contacts |
| SMS | Lecture OTP banque, fraude | Messageries SMS officielles uniquement |
| Stockage | Accès à tous les fichiers | Galerie, gestionnaire de fichiers |
| Accessibilité (Android) | Vol mots de passe, contournement 2FA | Outils handicap UNIQUEMENT |
| Notifications (lecture) | Capture OTP, messages | Smartwatch officielle |
| Admin appareil (Android) | Verrouillage, wipe, persistance | MDM entreprise uniquement |
Une app lampe torche qui demande Contacts, SMS et Localisation = à désinstaller immédiatement.
Étape 2 — Auditer les permissions sur Android
Sur Android 12+ (Samsung, Xiaomi, Pixel, Tecno, Infinix), suivez cette procédure :
Paramètres > Confidentialité > Tableau de bord de confidentialité
Vous voyez l'historique 24h des accès :
- Quelles apps ont utilisé GPS, Mic, Caméra
- À quelle heure
- Combien de fois
Paramètres > Apps > [Nom app] > Autorisations
Pour CHAQUE permission accordée :
- Autoriser tout le temps : à éviter sauf cartes, montre connectée
- Autoriser pendant utilisation : recommandé pour caméra, GPS
- Demander à chaque fois : maximum de contrôle
- Refuser : par défaut si pas indispensable
Paramètres > Confidentialité > Gestionnaire d'autorisations
Vue par permission : qui a accès à quoi
Cliquer "Localisation" → liste de toutes les apps avec accèsSur Samsung One UI 6, ajoutez : Paramètres > Sécurité et confidentialité > Plus de paramètres > Indicateurs d’accès aux capteurs. Active un point vert/orange dans la barre d’état dès qu’une app utilise micro ou caméra.
Étape 3 — Auditer les permissions sur iOS
Sur iPhone iOS 16+ :
Réglages > Confidentialité et sécurité
> Localisation : voir et révoquer par app
- Jamais
- Demander la prochaine fois
- Lorsque l'app est active (recommandé)
- Toujours (à éviter sauf cartes)
- Position précise : désactiver si pas critique
(l'app aura position approximative au km)
> Microphone, Appareil photo, Contacts : idem
> Bilan de confidentialité de l'app
Activer en haut de la page
Après 7 jours, vous verrez :
- Données accédées par chaque app
- Domaines réseau contactés
- Permet de détecter une app qui parle à un C2
Réglages > Confidentialité > Suivi
> Désactiver "Autoriser les apps à demander à vous suivre"Étape 4 — Distinguer store officiel et sideloading
L’origine d’une app détermine son niveau de risque. Hiérarchie de confiance :
| Source | Niveau de confiance | Risque |
|---|---|---|
| Apple App Store | Élevé (review humaine) | Faible mais pas nul |
| Google Play Store | Bon (review automatisée + manuelle) | Faible à modéré (apps malveillantes occasionnelles) |
| Samsung Galaxy Store | Bon | Faible |
| Huawei AppGallery | Moyen | Modéré (review variable) |
| F-Droid (open source) | Bon pour apps connues | Faible (mais audit limité) |
| APKMirror, APKPure | Variable | Élevé si app modifiée |
| Sideload depuis lien WhatsApp/SMS | Aucun | Très élevé, à PROSCRIRE |
| Store alternatif piraté (jeux, IPTV) | Aucun | Critique : malware quasi garanti |
Au Sénégal, méfiez-vous particulièrement des liens WhatsApp « Wave Premium APK », « Orange Money 2.0 », « Naïja TV ». Ces APK contiennent presque toujours des trojans bancaires (TeaBot, Cerberus, Anatsa).
Étape 5 — Désactiver le sideloading non sollicité
Sur Android, vérifiez quelles apps ont le droit d’installer d’autres apps :
Paramètres > Apps > Accès spécial > Installer des apps inconnues
Vous voyez la liste de toutes les apps avec ce droit.
Pour CHAQUE app de la liste :
- Chrome : refuser (utiliser Play Store pour installer)
- WhatsApp : refuser (les APK reçus en pièce jointe = danger)
- Files / Mes fichiers : refuser sauf besoin ponctuel
- Téléchargement Manager : refuser
- Settings / Paramètres : laisser activé (système)
Sur iOS, le sideloading public n'est pas possible
sauf en Europe via marketplaces alternatifs (DMA).
En Afrique, restez sur App Store uniquement.Étape 6 — Activer les protections de Google Play Protect
Google Play Protect scanne automatiquement les apps installées :
Play Store > icône profil > Play Protect > Paramètres
- Analyser les apps avec Play Protect : ON
- Améliorer la détection des apps nuisibles : ON
(envoie samples d'apps inconnues à Google pour analyse)
Play Protect > Analyser les apps maintenant
> Vérifie les 100+ apps installées en 30 secondes
Si Play Protect désactivé sur votre Android :
- Souvent signe d'une app malveillante qui l'a coupé
- Réactiver immédiatement, puis lancer un scanSur iOS, l’équivalent est intégré silencieusement par Apple, sans interface utilisateur.
Étape 7 — Reconnaître une app malveillante avant installation
Avant de cliquer « Installer », vérifiez ces 8 signaux sur la page Play Store ou App Store :
- Nombre de téléchargements : moins de 10 000 pour une app populaire = suspect
- Note moyenne : moins de 4 étoiles avec beaucoup d’avis 1 étoile parlant de « scam », « vol » = à fuir
- Date de mise à jour : jamais mise à jour depuis 12+ mois = abandonnée
- Nom du développeur : « Wave Senegal Official » est faux ; le vrai est « Wave Mobile Money »
- Captures d’écran : qualité amateur, fautes d’orthographe, screenshots d’autres apps
- Permissions demandées : visibles en bas de la fiche Play Store, alerte si lampe demande SMS
- Reviews récents : filtrer « 1 étoile » et lire 10 avis
- Site web officiel : cliquer le lien dev → site pro avec mentions légales = OK ; site vide ou absent = suspect
Recoupez toujours via le site officiel : pour Wave, allez sur wave.com et utilisez le bouton « Télécharger l’app » qui pointe vers le bon Play Store/App Store.
Étape 8 — Activer la biométrie correctement
Face ID, Touch ID et empreintes Android sont des facteurs d’authentification. Bonnes pratiques :
| Action | iOS (Face ID) | Android (empreinte) |
|---|---|---|
| Définir code de secours fort | Réglages > Face ID > 6+ chiffres alphanumérique | Paramètres > Sécurité > Code 6+ |
| Mode urgence (désactiver biométrie) | Maintenir bouton latéral + volume | Maintenir bouton power 3s |
| Apps bancaires biométrie | Wave, Yup, Ecobank, CBAO : ON | Idem + vérifier bibliothèque utilisée |
| Re-vérifier biométrie après inactivité | Activé par défaut | Activer dans chaque app sensible |
| Enrôler 2 doigts (en cas de coupure) | N/A | Recommandé |
Le mode urgence est crucial : en cas de contrainte physique, désactiver Face ID/empreinte force le code, qui peut être tapé « faux » 10 fois pour wipe automatique si configuré.
Étape 9 — Vérifier le chiffrement local
Le chiffrement transforme vos données illisibles sans clé (= votre code PIN). Sur iOS, le chiffrement est activé automatiquement dès qu’un code est défini (pas de PIN = pas de chiffrement). Sur Android :
Android 10+ : chiffrement obligatoire et activé par défaut
(File-Based Encryption, plus efficace que Full Disk)
Vérification :
Paramètres > Sécurité > Chiffrement et identifiants
> Doit afficher "Chiffré"
Si "Non chiffré" sur appareil ancien :
Paramètres > Sécurité > Chiffrer le téléphone
- Brancher au chargeur (durée 1h+)
- Ne pas interrompre
- Définir code 6+ chiffres avant chiffrementSans chiffrement, un voleur retire la carte SD ou flashe un recovery custom et lit toutes vos données en 5 minutes.
Étape 10 — Sécuriser les apps Mobile Money
Wave, Orange Money, YAS Money (ex-Free Money), Yup au Sénégal sont des cibles de choix. Configurations recommandées :
Wave :
- Code Wave 4 chiffres DIFFÉRENT du code téléphone
- Activer biométrie pour ouverture app
- Activer notifications email pour chaque transaction
- Définir limite quotidienne (ex : 200 000 FCFA)
- Ne JAMAIS partager code par téléphone, même à "Wave"
Orange Money :
- PIN 4 chiffres complexe (pas 1234, 0000, date naissance)
- Activer Mon Orange app pour double check transactions
- Souscrire à l'option "Sécurité Plus" (300 FCFA/mois)
- Désactiver le retrait sans carte si jamais utilisé
Banques (Ecobank Mobile, CBAO Smart, BOA) :
- Limite de virement quotidien à 500 000 FCFA
- Validation OTP par SMS sur numéro DIFFÉRENT du smartphone
- Si possible : OTP via app dédiée (token soft)
- Notification push pour chaque transaction > 50 000 FCFAÉtape 11 — Désinstaller les apps obsolètes ou inutilisées
Une app inutilisée mais installée reste un risque (failles non patchées, permissions actives). Faites le ménage tous les 3 mois :
Android :
Play Store > profil > Gérer les apps
> Trier par "Dernière utilisation"
> Désinstaller toute app non utilisée > 60 jours
iOS :
Réglages > Général > Stockage iPhone
> Activer "Décharger les apps inutilisées"
(supprime l'app mais garde les données)
> Pour suppression complète : faire glisser et "Supprimer l'app"
Tester :
- Décompter combien d'apps installées
- Cible : moins de 50 apps actives
- Si plus de 100, audit serré recommandéÉtape 12 — Sauvegarder de manière chiffrée
Les sauvegardes contiennent vos données les plus précieuses. Configurez correctement :
| Sauvegarde | Configuration | Risque sans config |
|---|---|---|
| iCloud (iOS) | Activer Protection avancée des données (chiffrement E2E) | Apple peut lire vos sauvegardes |
| Google Drive (Android) | Sauvegarde Google chiffrée par défaut, vérifier 2FA actif | Compte Google compromis = sauvegarde lue |
| WhatsApp > Discussions > Sauvegarde > Sauvegarde chiffrée de bout en bout : ON | Sauvegarde lisible par Google/Apple | |
| Photos sensibles | Coffre-fort (Samsung Secure Folder, iOS Hidden) ou Cryptomator | Lecture par toute app stockage |
Notez et stockez hors ligne le mot de passe de la sauvegarde chiffrée WhatsApp. Sans lui, restauration impossible. Conseil : 12 caractères, écrits sur papier, dans un coffre.
Étape 13 — Adopter les bons réflexes Wi-Fi public
Wi-Fi gratuit aéroport, hôtel, café = potentiellement compromis. Règles :
- Ne JAMAIS faire de transaction bancaire ou Wave sur Wi-Fi public sans VPN
- Activer un VPN gratuit fiable : Cloudflare 1.1.1.1 + WARP (gratuit, performant) ou Mullvad (5 EUR/mois ≈ 3 300 FCFA)
- Désactiver le Wi-Fi auto-connect (Paramètres > Wi-Fi > Avancé > Connexion auto = OFF)
- Préférer le partage de connexion 4G de votre forfait Orange/Free, plus sûr que le Wi-Fi gratuit
- Vérifier l’URL HTTPS (cadenas) avant chaque saisie de mot de passe
- Désactiver Bluetooth et AirDrop quand non utilisés (vecteurs d’attaque)
Configurer Cloudflare WARP :
# Télécharger l'app "1.1.1.1 + WARP" sur App Store / Play Store
# Activer en un tap
# Vérifier IP changée :
# Ouvrir Safari/Chrome > whatismyipaddress.com
# Doit afficher une IP Cloudflare, pas votre IP opérateurErreurs classiques à éviter
- Installer un APK reçu sur WhatsApp parce qu’un « ami » l’envoie : trojan bancaire qui vide Wave et Orange Money en 5 minutes après installation, perte de 50 000 à 500 000 FCFA
- Accorder la permission « Accessibilité » à une app non handicap : contournement 2FA, vol mots de passe, contrôle total du téléphone, c’est le vecteur préféré des malwares Android en 2026
- Utiliser le même code 4 chiffres partout (téléphone, Wave, banque) : compromis une fois, tout est compromis ; utilisez codes différents
- Activer le débogage USB et le laisser ON : n’importe qui avec un câble accède à vos données via ADB
- Connecter son téléphone à un PC public ou une borne USB inconnue : juice jacking, malware silencieux, utilisez un câble USB-C uniquement charge ou un adaptateur « USB condom »
- Désactiver Play Protect parce qu’il « bloque mon app » : 99% du temps cette app est dangereuse, ne contournez pas
- Stocker captures d’écran avec mots de passe ou OTP dans la galerie : moindre malware avec accès stockage les vole en quelques secondes
- Cliquer « Mise à jour critique » depuis une popup web : aucune mise à jour ne passe par le navigateur, toujours via le store officiel
Checklist sécurité applications mobiles
✓ Audit complet des permissions effectué (Android et iOS)
✓ Permission "Accessibilité" : aucune app non-handicap
✓ Sideloading désactivé sauf source de confiance
✓ Play Protect activé et scan exécuté
✓ Apps installées : maximum 50 actives
✓ Aucune app inconnue ou abandonnée > 6 mois
✓ Toutes les apps installées via store officiel
✓ Code PIN 6+ chiffres ou alphanumérique
✓ Biométrie activée + code de secours fort
✓ Codes différents pour téléphone, Wave, banque
✓ Wave/Orange Money : limite quotidienne configurée
✓ Notifications transactions activées (SMS + email)
✓ Sauvegardes WhatsApp chiffrées E2E + mot de passe noté
✓ Chiffrement appareil vérifié actif
✓ VPN Cloudflare WARP installé pour Wi-Fi public
✓ Mode urgence biométrie connu (geste pour désactiver)
✓ Audit refait tous les 3 mois