Audit de sécurité des applications mobiles : dans quelle mesure les applis les plus téléchargées en Algérie sont-elles sécurisées ?

Des millions d’Algériens confient chaque jour des données sensibles à leur téléphone — virements bancaires via BaridiMob, réservations de courses via Yassir, recharges mobiles via les applications des opérateurs télécoms. Mais dans quelle mesure les applications qui traitent ces données sont-elles réellement sécurisées ? Sur un marché où les services mobile-first se développent plus vite que les pratiques de sécurité ne peuvent suivre, l’écart entre la confiance des utilisateurs et la sécurité réelle des applications se creuse dangereusement.

Cet article examine la posture de sécurité des applications mobiles les plus téléchargées en Algérie à travers le cadre OWASP Mobile Top 10, identifie les vulnérabilités courantes et propose des recommandations pratiques tant pour les développeurs que pour les utilisateurs.

Le boom des applications mobiles en Algérie — et la dette sécuritaire qu’il engendre

L’écosystème mobile algérien a connu une transformation spectaculaire. Selon le rapport Digital 2025 de DataReportal, le pays compte 54,8 millions de connexions cellulaires mobiles — soit 116 % de la population, car de nombreux Algériens possèdent plusieurs cartes SIM. Le nombre d’internautes atteint 36,2 millions, soit un taux de pénétration de 76,9 %. BaridiMob à lui seul a dépassé les 10 millions de téléchargements sur Google Play, ce qui en fait l’une des applications fintech les plus adoptées en Afrique du Nord. Yassir opère dans plus de 60 villes à travers six pays et sert plus de 10 millions d’utilisateurs en tant que super application couvrant le VTC, la livraison de repas et les paiements. Les opérateurs télécoms Djezzy, Mobilis et Ooredoo comptent chacun des millions d’utilisateurs actifs gérant leurs comptes, forfaits data et paiements.

Pourtant, cette croissance a dépassé les investissements en matière de sécurité. La plupart des développeurs d’applications algériens — qu’ils soient dans des startups ou des institutions soutenues par l’État — font face à des budgets limités, un accès restreint aux outils professionnels de tests d’intrusion, et une pression réglementaire minimale pour réaliser des audits de sécurité. Le résultat est un paysage applicatif où la commodité devance largement la protection.

L’Algérie ne dispose actuellement d’aucune norme obligatoire de sécurité des applications mobiles. Si le Décret Présidentiel n° 26-07, publié au Journal Officiel le 21 janvier 2026, impose aux institutions publiques la création d’unités de cybersécurité dédiées, il ne s’étend pas à la certification ou aux exigences d’audit de sécurité des applications mobiles du secteur privé. À titre de comparaison, le Cyber Resilience Act de l’UE impose la sécurité dès la conception pour tous les produits numériques, et le Cybersecurity Labelling Scheme de Singapour évalue la sécurité des appareils connectés grand public sur une échelle à quatre niveaux — un modèle qui pourrait être adapté à la certification des applications mobiles.

Méthodologie : à quoi ressemble un audit de sécurité

Un audit professionnel de sécurité des applications mobiles examine généralement les applications par rapport au OWASP Mobile Top 10, la taxonomie de référence des risques de sécurité mobile. L’édition 2024 de cette liste identifie les catégories de vulnérabilités critiques suivantes :

1. Utilisation incorrecte des identifiants — Identifiants codés en dur, stockage non sécurisé des clés API
2. Sécurité insuffisante de la chaîne d’approvisionnement — Vulnérabilités des SDK tiers, dépendances non vérifiées
3. Authentification/Autorisation non sécurisée — Gestion de session faible, contrôles d’accès défaillants
4. Validation insuffisante des entrées/sorties — Attaques par injection, fuite de données via les journaux
5. Communications non sécurisées — Trafic non chiffré, absence d’épinglage de certificat
6. Contrôles de confidentialité inadéquats — Collecte excessive de données, suivi analytique sans consentement
7. Protections binaires insuffisantes — Absence d’obfuscation, exposition à la rétro-ingénierie
8. Mauvaise configuration de sécurité — Modes debug laissés actifs, paramètres par défaut non sécurisés
9. Stockage de données non sécurisé — Données en clair sur l’appareil, bases de données non protégées
10. Cryptographie insuffisante — Algorithmes faibles, gestion incorrecte des clés

Les chercheurs en sécurité utilisent des outils tels que MobSF (Mobile Security Framework), Frida pour l’analyse dynamique, Burp Suite pour l’interception du trafic, et jadx pour la décompilation des APK. Pour cette analyse, nous nous appuyons sur des résultats documentés publiquement, des schémas courants observés dans des marchés similaires, et des évaluations architecturales basées sur les comportements publiquement observables des applications.

BaridiMob : le portefeuille numérique de l’Algérie sous la loupe

BaridiMob, développé par Algérie Poste, est sans doute l’application la plus critique en matière de sécurité dans l’écosystème algérien. Elle gère les comptes CCP (Compte Courant Postal) de millions d’utilisateurs et traite les virements de pair à pair, les paiements de factures et les transactions marchandes.

Ce qui fonctionne

BaridiMob a apporté des améliorations visibles au fil des versions récentes. L’application exige un OTP (mot de passe à usage unique) par SMS pour la confirmation des transactions, utilise HTTPS pour les communications API et a mis en place des mécanismes d’expiration de session. Selon la politique de données publiée par Algérie Poste, les données des utilisateurs sont transmises de manière sécurisée via HTTPS et ne sont pas partagées avec des tiers.

Points de préoccupation

Lacunes dans l’épinglage de certificat. L’épinglage de certificat est une technique qui garantit qu’une application ne communique qu’avec un serveur présentant un certificat SSL spécifique et préapprouvé. Sans cela, un attaquant sur le même réseau Wi-Fi (café, campus universitaire ou hôtel) peut intercepter le trafic par une attaque de type man-in-the-middle. De nombreuses applications financières dans les marchés émergents ont historiquement manqué d’implémentations robustes d’épinglage de certificat, les rendant vulnérables à l’interception via proxy.

Permissions excessives. Une application soucieuse de la sécurité ne devrait demander que les permissions strictement nécessaires. Les applications financières qui demandent l’accès aux contacts, à la caméra, à la localisation et au stockage au-delà de ce que leurs fonctionnalités de base exigent créent des surfaces d’attaque inutiles. Chaque permission supplémentaire est un vecteur potentiel de fuite de données si l’appareil est compromis.

Pratiques de stockage local des données. Sur Android, les applications qui stockent des jetons de session sensibles ou des données de compte dans SharedPreferences sans chiffrement, ou qui écrivent des données de transaction dans des bases de données SQLite locales sans protection, exposent ces informations à toute application disposant d’un accès root ou aux outils d’extraction forensique. Même sur des appareils non rootés, les mécanismes de sauvegarde Android peuvent parfois extraire ces données.

Exposition des points de terminaison API. Les applications financières communiquent fréquemment avec des API backend qui n’implémentent pas toujours correctement la limitation de débit, la validation des entrées ou la rotation des jetons d’authentification. Les attaquants qui effectuent de la rétro-ingénierie sur l’APK peuvent extraire les points de terminaison API et tenter du credential stuffing, de la manipulation de paramètres ou un accès non autorisé aux données.

Yassir : la surface d’attaque croissante de la super application

Yassir est passé d’une application de VTC à une super application englobant la livraison de repas, les courses alimentaires, les paiements et même la distribution physique suite à l’acquisition de la chaîne d’hypermarchés Uno en 2026. Chaque nouveau module fonctionnel étend la surface d’attaque de l’application. À noter que la Commission de Protection des Données Personnelles (CDP) du Sénégal a formellement averti Yassir en 2023 de se conformer aux règles de protection des données du pays lors de l’expansion de l’entreprise — un signal que la gouvernance des données est une préoccupation actuelle.

Modèle de permissions

Yassir nécessite les services de localisation (attendu pour le VTC), mais l’application demande également un accès persistant à la localisation en arrière-plan, aux contacts, à la caméra, au microphone et à l’état du téléphone. Bien que certaines de ces autorisations soutiennent des fonctionnalités légitimes (communication avec le chauffeur, photos de profil), l’étendue des permissions crée un profil de données riche qui, en cas de compromission, révèle des détails intimes sur le comportement de l’utilisateur.

Risque des SDK tiers

Les super applications comme Yassir intègrent généralement des dizaines de SDK tiers — analytique (Firebase, Mixpanel), publicité, rapport de crash, services cartographiques, processeurs de paiement. Chaque SDK représente une vulnérabilité potentielle dans la chaîne d’approvisionnement. En mars 2024, des chercheurs en sécurité ont découvert que des instances Firebase mal configurées dans plus de 900 applications avaient exposé plus de 125 millions d’enregistrements d’utilisateurs, incluant noms, emails, numéros de téléphone et détails de facturation. La cause première était que les développeurs utilisaient le mode test permissif de Firebase sans jamais implémenter de règles de sécurité appropriées — un schéma de mauvaise configuration courant dans les startups à croissance rapide.

Sécurité des paiements

À mesure que Yassir traite davantage de transactions financières, la sécurité de son infrastructure de paiement devient critique. L’intégration avec divers prestataires de paiement et le stockage des détails de carte (ou de leurs équivalents tokenisés) devraient être conformes aux normes PCI DSS. Sur le marché algérien, où l’application de la norme PCI DSS est limitée, la responsabilité repose largement sur les pratiques de sécurité internes de l’entreprise.

Applications télécoms : Djezzy, Mobilis et Ooredoo

Les applications des opérateurs télécoms gèrent les comptes des abonnés, les recharges de crédit, les forfaits data, et offrent de plus en plus des services de mobile money. Ces applications ont un accès direct à l’identification du numéro de téléphone et aux données des abonnés.

Problèmes communs aux applications télécoms

Composants WebView obsolètes. De nombreuses applications télécoms s’appuient fortement sur des WebViews intégrées pour afficher du contenu, ce qui peut introduire des vulnérabilités web (XSS, CSRF) dans un contexte mobile. Si les composants WebView ne sont pas mis à jour pour corriger les vulnérabilités connues du moteur de navigation, ils deviennent des vecteurs d’attaque persistants.

Deep linking non sécurisé. Les deep links permettent à des sources externes (sites web, messages SMS, autres applications) de naviguer directement vers des écrans spécifiques au sein d’une application. Si les gestionnaires de deep links ne valident pas la source et les paramètres, les attaquants peuvent créer des liens malveillants qui déclenchent des actions non intentionnées — comme initier une recharge vers un numéro contrôlé par l’attaquant.

Faiblesse de l’authentification par SMS. Les trois opérateurs s’appuient fortement sur les SMS pour la vérification et l’authentification des comptes. Le SMS est intrinsèquement non sécurisé — susceptible aux attaques par SIM swap, aux vulnérabilités du protocole SS7 et à l’interception. Bien que l’OTP par SMS soit mieux que l’absence de second facteur, il reste inférieur aux authentificateurs basés sur application ou aux clés de sécurité matérielles.

Exposition des données de compte. Les applications télécoms qui affichent les numéros de téléphone complets, les adresses de facturation ou les numéros de documents d’identité sans masquage créent des opportunités de phishing. Les captures d’écran partagées sur les réseaux sociaux, ou les données captées par des malwares d’enregistrement d’écran, peuvent récolter ces informations visibles.

Applications de e-commerce et de services

Le secteur du e-commerce algérien en pleine croissance inclut des applications comme Ouedkniss — la plus grande plateforme de petites annonces du pays avec plus de 800 000 visites quotidiennes — ainsi que Jumia Algeria et diverses plateformes de livraison de repas. Ces applications collectent des adresses de livraison, des informations de paiement et des historiques d’achats.

Vulnérabilités courantes

Conception API non sécurisée. Les API de e-commerce qui utilisent des identifiants entiers séquentiels pour les commandes ou les profils utilisateurs (par exemple, `/api/user/1001`, `/api/user/1002`) sans vérifications d’autorisation appropriées permettent les attaques IDOR (Insecure Direct Object Reference), où un attaquant peut énumérer et accéder aux données d’autres utilisateurs simplement en incrémentant l’identifiant.

Secrets codés en dur. Les développeurs sous pression de délais intègrent parfois des clés API, des identifiants de base de données ou des clés de chiffrement directement dans le code source de l’application. Les APK Android sont trivialement décompilables à l’aide d’outils comme jadx, ce qui signifie que tout secret codé en dur est effectivement public. C’est un problème omniprésent dans les applications développées dans des délais serrés avec des processus de revue de code limités.

Entrées non validées. Les champs de recherche, sections de commentaires et formulaires d’avis qui ne nettoient pas les entrées utilisateur peuvent être exploités pour des attaques par injection, permettant potentiellement aux attaquants de manipuler les requêtes de base de données ou d’injecter des scripts malveillants.

Le vide réglementaire

Le cadre réglementaire de cybersécurité de l’Algérie, bien qu’il évolue rapidement, présente des lacunes significatives dans le domaine des applications mobiles.

Ce qui existe

Le Décret Présidentiel n° 26-07 (janvier 2026) impose aux institutions publiques la création d’unités de cybersécurité dédiées qui rendent compte directement aux responsables des institutions et coordonnent toutes les actions de protection des données et de sécurité des systèmes. Le Décret Présidentiel n° 25-321 (décembre 2025) a approuvé la stratégie nationale de sécurité des systèmes d’information de l’Algérie pour 2025-2029. L’ASSI (Agence de Sécurité des Systèmes d’Information), placée sous le ministère de la Défense Nationale, met en œuvre les politiques nationales de cybersécurité et défend les infrastructures critiques. Le CNSSI (Conseil National de la Sécurité des Systèmes d’Information) assure la coordination stratégique au niveau national.

La loi sur la protection des données de l’Algérie (Loi 18-07 de juin 2018) établit les principes du traitement des données personnelles et est appliquée par l’ANPDP (Autorité Nationale de Protection des Données Personnelles). Le cadre a été considérablement renforcé par la Loi n° 11-25 (juillet 2025), qui a modernisé le cadre de 2018 en exigeant des organisations qu’elles désignent des Délégués à la Protection des Données, tiennent des registres détaillés des traitements et réalisent des Analyses d’Impact relatives à la Protection des Données.

Ce qui manque

• Aucune certification obligatoire de sécurité des applications pour les applications publiées en Algérie
• Aucune exigence d’audit de sécurité pour les applications mobiles financières ou gouvernementales
• Aucun cadre de divulgation de vulnérabilités protégeant les chercheurs en sécurité
• Aucune exigence d’analyse de sécurité au niveau des stores au-delà des vérifications standard de Google Play
• Aucune obligation de notification de violation spécifique aux développeurs d’applications mobiles victimes de fuites de données

Comparaison régionale

La DGSSI du Maroc, désignée comme Autorité Nationale de Cybersécurité en vertu de la Loi 05-20, a publié une Directive Nationale sur la Sécurité des Systèmes d’Information couvrant les secteurs gouvernementaux et les infrastructures critiques. L’ANCS de Tunisie (qui a remplacé l’ancienne ANSI en 2023 via le Décret-Loi 2023-17) impose des audits de cybersécurité obligatoires pour les systèmes d’information critiques. Dans le Golfe, la NCA d’Arabie Saoudite impose des évaluations de sécurité pour les applications gouvernementales, y compris des plateformes comme Absher et Tawakkalna qui servent des millions de citoyens au quotidien. La TDRA des Émirats Arabes Unis a établi des exigences de sécurité des applications mobiles pour les secteurs réglementés, notamment la santé, la finance et les télécommunications.

L’absence de normes comparables spécifiques au mobile en Algérie laisse le marché largement autorégulé — et l’autorégulation en cybersécurité produit historiquement des résultats inégaux. Pour contexte, l’Algérie a enregistré plus de 70 millions de cyberattaques en 2024, se classant 17e au niveau mondial parmi les nations les plus ciblées, soulignant l’urgence de combler ce vide réglementaire.

Scénarios d’attaques réels

Comprendre comment ces vulnérabilités se traduisent en attaques concrètes aide à contextualiser le risque.

Scénario 1 : Vol d’identifiants au café

Un attaquant installe un point d’accès Wi-Fi pirate dans un café populaire d’Alger. Les utilisateurs qui se connectent et ouvrent une application bancaire sans épinglage de certificat voient leur trafic API intercepté. L’attaquant capture les jetons d’authentification et les utilise pour initier des virements avant l’expiration de la session.

Scénario 2 : Ingénierie sociale par fausse mise à jour

Un faux APK « BaridiMob v4.0 » circule sur les groupes Facebook et les chaînes Telegram, promettant de nouvelles fonctionnalités. Les utilisateurs qui l’installent en dehors du Google Play Store lui accordent les mêmes permissions que l’application réelle. La version trojanisée récolte les identifiants et transfère les OTP par SMS à l’attaquant.

Scénario 3 : Compromission de la chaîne d’approvisionnement

Une application algérienne de e-commerce populaire intègre un SDK d’analytique tiers qui s’avère par la suite exfiltrer les données utilisateur vers des serveurs externes. Parce que le développeur de l’application n’a pas audité le comportement réseau du SDK, les habitudes de navigation et les données d’achat des utilisateurs ont été silencieusement récoltées pendant des mois.

Scénario 4 : Fuite de données par IDOR

Un chercheur en sécurité découvre qu’une application algérienne de livraison de repas expose les détails des commandes, y compris les adresses de livraison et les numéros de téléphone, via des points de terminaison API prévisibles. En itérant à travers les identifiants de commande, n’importe qui peut récupérer les données personnelles de milliers de clients. Sans programme de divulgation de vulnérabilités, le chercheur n’a aucun canal sûr pour signaler le problème.

Recommandations pour les développeurs algériens

Actions immédiates

1. Implémenter l’épinglage de certificat dans toutes les applications traitant des données sensibles. Utiliser des bibliothèques comme le CertificatePinner d’OkHttp sur Android ou TrustKit sur iOS. Tester l’épinglage avec des outils comme Frida pour vérifier qu’il ne peut pas être trivialement contourné.

1. Auditer les permissions sans pitié. Supprimer chaque permission qui n’est pas essentielle aux fonctionnalités de base. Utiliser le modèle de permissions d’exécution d’Android pour ne demander l’accès que lorsque la fonctionnalité qui en a besoin est activement utilisée.

1. Chiffrer le stockage local. Utiliser les API EncryptedSharedPreferences et EncryptedFile d’Android (partie de Jetpack Security) au lieu du SharedPreferences standard. Pour les bases de données SQLite, utiliser SQLCipher.

1. Supprimer les secrets codés en dur. Utiliser la livraison de configuration côté serveur ou le stockage sécurisé spécifique à la plateforme (Android Keystore, iOS Keychain) pour gérer les clés API et les identifiants. Intégrer des outils de détection de secrets comme gitleaks ou truffleHog dans les pipelines CI/CD.

1. Implémenter une validation correcte des entrées côté client et serveur. Ne jamais se fier uniquement à la validation côté client.

Améliorations à moyen terme

1. Adopter le OWASP MASVS (Mobile Application Security Verification Standard) comme référentiel de base pour tous les projets de développement. Viser le niveau 2 (défense en profondeur) pour toute application traitant des données financières ou personnelles.

1. Intégrer des outils SAST et DAST dans le pipeline de développement. MobSF pour l’analyse statique, Burp Suite ou OWASP ZAP pour les tests API.

1. Mettre en place un programme de divulgation de vulnérabilités. Même une simple adresse [email protected] avec une politique publiée améliore considérablement les chances de recevoir des divulgations responsables.

1. Effectuer des tests d’intrusion par des tiers au moins une fois par an pour les applications traitant des données financières. Faire appel à des sociétés certifiées CREST ou à des testeurs qualifiés OSCP.

1. Implémenter des vérifications d’intégrité de l’application — détecter les appareils rootés/jailbreakés, détecter les débogueurs en cours d’exécution, détecter la falsification de la signature APK.

Bonnes pratiques architecturales

1. Passer à l’authentification par jetons avec des JWT à courte durée de vie, des jetons de rafraîchissement et des mécanismes de révocation appropriés.

1. Implémenter la limitation de débit API et la détection d’anomalies pour identifier le credential stuffing, le scraping et les attaques automatisées.

1. Utiliser l’obfuscation de code (ProGuard/R8 pour Android, bitcode pour iOS) combinée à la protection de l’application en temps d’exécution (RASP) pour les applications à haute valeur.

Ce que les utilisateurs peuvent faire dès maintenant

Bien que la responsabilité principale incombe aux développeurs, les utilisateurs algériens d’applications mobiles peuvent prendre des mesures pratiques pour se protéger.

• N’installer des applications qu’à partir du Google Play Store ou de l’Apple App Store. Ne jamais installer des APK provenant de groupes Facebook, de chaînes Telegram ou de sites web aléatoires, quelles que soient les fonctionnalités promises.
• Vérifier les permissions des applications. Sur Android, aller dans Paramètres > Applications > [Nom de l’appli] > Permissions. Révoquer toute permission qui ne correspond pas à la fonction de l’application.
• Maintenir les applications à jour. Les correctifs de sécurité sont livrés via les mises à jour des applications. Activer les mises à jour automatiques.
• Utiliser un mot de passe différent pour chaque application. Un gestionnaire de mots de passe comme Bitwarden (gratuit, open source) génère et stocke des mots de passe uniques.
• Activer l’authentification à deux facteurs partout où elle est proposée.
• Se méfier des liens. Ne jamais cliquer sur des liens dans des SMS prétendant provenir de votre banque ou opérateur télécom. Ouvrir plutôt directement l’application officielle.
• Surveiller vos comptes. Vérifier régulièrement l’historique des transactions BaridiMob et les relevés CCP pour détecter les transactions non autorisées.

La voie à suivre

Le défi de la sécurité des applications mobiles en Algérie n’est pas un problème technologique — c’est un problème de gouvernance, d’investissement et de sensibilisation. Les outils et les connaissances pour construire des applications sécurisées sont librement disponibles. Ce qui manque, c’est l’impulsion réglementaire, l’engagement institutionnel et le changement culturel qui traite la sécurité comme une exigence fondamentale du produit plutôt qu’une réflexion après coup.

La mise en place d’un cadre national de certification de sécurité des applications mobiles — même volontaire dans un premier temps — établirait un socle. Des incitations comme des badges « certifié sécurisé » sur les fiches des stores pourraient encourager l’adoption par la compétition. Les programmes universitaires en informatique devraient intégrer la sécurité mobile OWASP dans leurs cursus. Et les entreprises algériennes qui développent des applications traitant les données financières et personnelles de millions d’utilisateurs doivent reconnaître qu’une faille de sécurité n’est pas un risque hypothétique — c’est une certitude dont la seule question est quand, pas si.

Le coût d’un audit de sécurité proactif représente une fraction du coût d’une violation — mesuré non seulement en dinars, mais en termes de confiance publique dont dépend l’économie numérique de l’Algérie.

Questions fréquemment posées

Sources et lectures complémentaires

• OWASP Mobile Top 10 (2024) — OWASP Foundation
• Mobile Application Security Verification Standard (MASVS) — OWASP
• Android Security Best Practices — Google Developers
• MobSF — Mobile Security Framework (Open Source)
• Algeria Strengthens Cybersecurity Framework — TechAfrica News
• Algeria Orders Cybersecurity Units in Public Sector — Ecofin Agency
• Misconfigured Firebase Instances Expose 125 Million User Records — SecurityWeek
• Digital 2025: Algeria — DataReportal
• Senegal Regulator Warns Yassir on Data Protection — Tech In Africa
• Certificate Pinning for Mobile Applications — OWASP Cheat Sheet