Apple a dû faire face récemment à une vague de signalements concernant de fausses applications passant pour des émanations officielles de certaines marques, comme Nike, Puma ou FootLocker. Le ménage a été fait, mais pose la question du processus de validation des applications.

L’objectif d’une boutique d’applications, en plus de créer un lieu centralisé pour les récupérer, est de fournir une sécurité renforcée. Puisque l’entreprise qui gère la plateforme contrôle ce qui y est placé, elle peut imposer des conditions et vérifier ce qu’elle va stocker sur ses serveurs. Une situation qui n’est pas toujours simple, aucune boutique n’étant épargnée par un problème ou un autre.

Si l’App Store d’Apple a été globalement épargné par les malwares – à quelques rares exceptions – il reste sensible à un autre phénomène : les applications se faisant passer pour ce qu’elles ne sont pas. L’objectif derrière de telles créations peut varier, mais il y a toujours un intérêt financier, soit en détournant des revenus publicitaires, soit en essayant plus directement d’obtenir de l’argent des utilisateurs qui tomberaient dans le piège.

Une vague de fausses applications venant de Chine

Selon le New York Times, Apple vient justement de procéder à un ménage important, supprimant des centaines d’applications qui se faisaient passer pour des boutiques de marques connues comme Nike, Puma, FootLocker, Céline, Headphone ou encore Adidas. Leur présence initiale dans la boutique indique qu’Apple les a laissées passer, son processus de vérification ayant du mal à reconnaître les violations de marque.

Le Times indique que la plupart de ces applications provenaient de Chine, l'arrivée des fêtes de fin d'année jouant un grand rôle. C’est de ce pays que venait déjà la dernière menace sérieuse à avoir frappé l’App Store. Des pirates avaient en effet mis à disposition une version frelatée de l’environnement de développement Xcode pour répondre à la demande d’entreprises frustrées par les faibles taux de téléchargements depuis les serveurs d’Apple.

Le fait même de proposer une application détournant une marque n’a cependant rien d’un phénomène nouveau. Par exemple, et même si l’ampleur a diminué, une recherche sur VLC dans le Windows Store proposait de nombreuses applications payantes (alors que VLC est gratuit).

Soutirer des coordonnées bancaires

Dans la plupart des cas toutefois, ces fausses applications cherchent à faire payer des fonctions gratuites ou à détourner une partie des revenus publicitaires. Comme le signale ainsi 9to5mac, une simple recherche sur le jeu Flappy Bird montre de très nombreux clones, tous cherchant à faire payer pour des achats in-app. Dans le cas des applications supprimées récemment, le problème était cependant plus grave.

Le Times précise que nombre de ces applications proposaient en effet des boutiques mimant les officielles. En d’autres termes, les utilisateurs étaient invités à faire les courses sur de fausses applications, le moment crucial du paiement finissant par arriver. Si par malheur les coordonnées bancaires étaient récupérées, elles étaient alors entre les mains des pirates, qui avaient toute latitude pour s’en resservir, jusqu’à ce que l’arnaque soit découverte et la carte bloquée. Encore plus grave, certaines applications auraient embarqué des ransomwares capables de bloquer les appareils dans l’attente d’une rançon.

Apple s'en tient aux signalements des clients et développeurs

Il y a eu en fait deux vagues de suppression, une première il y a deux semaines à la suite d’un article du New York Post, et une autre en fin de semaine dernière après que le New York Times a rapporté l’information à Apple. Un porte-parole de l’entreprise, Tom Neumayr, s’est d’ailleurs exprimé à ce sujet : « Nous avons mis en place pour les clients et développeurs des moyens de signaler les applications frauduleuses ou suspicieuses, et nous les examinons rapidement pour s’assurer que l’App Store est sûr et sécurisé ». La firme indique par ailleurs qu’elle continuera de faire attention à tout ce qui pourrait mettre les utilisateurs en danger.

Mais n’en déplaise à Apple, le problème relance le débat sur les processus de validation des applications dans leur ensemble, quelle que soit la boutique visée. Toutes les plateformes se lancent tôt ou tard dans des phases de « dégraissage », car la qualité est aussi – sinon plus – importante que la quantité. En septembre, Apple avait ainsi annoncé qu’un grand nettoyage allait commencer et que l’intégralité des applications serait examinée pour supprimer tout ce qui semblait obsolète et non entretenu.

Tout repose sur des processus automatisés

Les fausses applications posent cependant un problème plus sérieux. Il n’est guère complexe pour des développeurs malveillants de republier des applications trompeuses quand elles ont été effacées, car les processus de validation sont pour la plupart automatiques, donc contournables. Le Times cite l’exemple d’une fausse application publiée par Overstock Inc., alors que la vraie société se nomme Overstock.com. Des entreprises se spécialisent également dans la conception rapide et sans trop y regarder d’applications pour le compte d’autres entités, en espérant que les clients « sont ce qu’ils prétendent être ».

Le souci pour une entreprise comme Apple, Google ou Microsoft, est alors de détecter efficacement la volonté de nuire. Et c’est bien là que tout se corse. Par l’analyse du code, les processus automatiques peuvent détecter les malwares et autres dangers résidant dans l’application elle-même. Mais dès qu’il s’agit de jouer sur des nuances subtiles de noms (les logos étant souvent repris tels quels), il n’y a guère que l’examen humain qui puisse se révéler efficace. Avec jusqu’à plusieurs millions d’applications à inspecter, l’ampleur de la tâche sera colossale.

En résumé, et bien que les entreprises fassent des efforts pour réagir aussi rapidement que possible, l’attention de l’utilisateur est irremplaçable. Le problème se pose particulièrement pour tout ce qui concerne les achats en ligne, et il faudra donc faire attention à qui a publié l’application, et à d’autres indices comme les notes et les commentaires, même si les contenus français sont moins ciblés.