Oi Victor, como vai?
Sentimos muito pela demora em retornar.
Sobre um usuário acessar o app.config é algo que não deve acontecer, já que usuários não teriam como ter acesso a esse arquivo em específico. Inclusive, a conexão poderia estar até mesmo em uma classe de conexão, que protegida, não teria como ser acessada.
Qualquer dúvida estamos por aqui.
Abraços