Apple a dû faire face récemment à une vague de signalements concernant de fausses applications passant pour des émanations officielles de certaines marques, comme Nike, Puma ou FootLocker. Le ménage a été fait, mais pose la question du processus de validation des applications.
L’objectif d’une boutique d’applications, en plus de créer un lieu centralisé pour les récupérer, est de fournir une sécurité renforcée. Puisque l’entreprise qui gère la plateforme contrôle ce qui y est placé, elle peut imposer des conditions et vérifier ce qu’elle va stocker sur ses serveurs. Une situation qui n’est pas toujours simple, aucune boutique n’étant épargnée par un problème ou un autre.
Si l’App Store d’Apple a été globalement épargné par les malwares – à quelques rares exceptions – il reste sensible à un autre phénomène : les applications se faisant passer pour ce qu’elles ne sont pas. L’objectif derrière de telles créations peut varier, mais il y a toujours un intérêt financier, soit en détournant des revenus publicitaires, soit en essayant plus directement d’obtenir de l’argent des utilisateurs qui tomberaient dans le piège.
Une vague de fausses applications venant de Chine
Selon le New York Times, Apple vient justement de procéder à un ménage important, supprimant des centaines d’applications qui se faisaient passer pour des boutiques de marques connues comme Nike, Puma, FootLocker, Céline, Headphone ou encore Adidas. Leur présence initiale dans la boutique indique qu’Apple les a laissées passer, son processus de vérification ayant du mal à reconnaître les violations de marque.
Le Times indique que la plupart de ces applications provenaient de Chine, l'arrivée des fêtes de fin d'année jouant un grand rôle. C’est de ce pays que venait déjà la dernière menace sérieuse à avoir frappé l’App Store. Des pirates avaient en effet mis à disposition une version frelatée de l’environnement de développement Xcode pour répondre à la demande d’entreprises frustrées par les faibles taux de téléchargements depuis les serveurs d’Apple.
Le fait même de proposer une application détournant une marque n’a cependant rien d’un phénomène nouveau. Par exemple, et même si l’ampleur a diminué, une recherche sur VLC dans le Windows Store proposait de nombreuses applications payantes (alors que VLC est gratuit).
Soutirer des coordonnées bancaires
Dans la plupart des cas toutefois, ces fausses applications cherchent à faire payer des fonctions gratuites ou à détourner une partie des revenus publicitaires. Comme le signale ainsi 9to5mac, une simple recherche sur le jeu Flappy Bird montre de très nombreux clones, tous cherchant à faire payer pour des achats in-app. Dans le cas des applications supprimées récemment, le problème était cependant plus grave.
Le Times précise que nombre de ces applications proposaient en effet des boutiques mimant les officielles. En d’autres termes, les utilisateurs étaient invités à faire les courses sur de fausses applications, le moment crucial du paiement finissant par arriver. Si par malheur les coordonnées bancaires étaient récupérées, elles étaient alors entre les mains des pirates, qui avaient toute latitude pour s’en resservir, jusqu’à ce que l’arnaque soit découverte et la carte bloquée. Encore plus grave, certaines applications auraient embarqué des ransomwares capables de bloquer les appareils dans l’attente d’une rançon.
Apple s'en tient aux signalements des clients et développeurs
Il y a eu en fait deux vagues de suppression, une première il y a deux semaines à la suite d’un article du New York Post, et une autre en fin de semaine dernière après que le New York Times a rapporté l’information à Apple. Un porte-parole de l’entreprise, Tom Neumayr, s’est d’ailleurs exprimé à ce sujet : « Nous avons mis en place pour les clients et développeurs des moyens de signaler les applications frauduleuses ou suspicieuses, et nous les examinons rapidement pour s’assurer que l’App Store est sûr et sécurisé ». La firme indique par ailleurs qu’elle continuera de faire attention à tout ce qui pourrait mettre les utilisateurs en danger.
Mais n’en déplaise à Apple, le problème relance le débat sur les processus de validation des applications dans leur ensemble, quelle que soit la boutique visée. Toutes les plateformes se lancent tôt ou tard dans des phases de « dégraissage », car la qualité est aussi – sinon plus – importante que la quantité. En septembre, Apple avait ainsi annoncé qu’un grand nettoyage allait commencer et que l’intégralité des applications serait examinée pour supprimer tout ce qui semblait obsolète et non entretenu.
Tout repose sur des processus automatisés
Les fausses applications posent cependant un problème plus sérieux. Il n’est guère complexe pour des développeurs malveillants de republier des applications trompeuses quand elles ont été effacées, car les processus de validation sont pour la plupart automatiques, donc contournables. Le Times cite l’exemple d’une fausse application publiée par Overstock Inc., alors que la vraie société se nomme Overstock.com. Des entreprises se spécialisent également dans la conception rapide et sans trop y regarder d’applications pour le compte d’autres entités, en espérant que les clients « sont ce qu’ils prétendent être ».
Le souci pour une entreprise comme Apple, Google ou Microsoft, est alors de détecter efficacement la volonté de nuire. Et c’est bien là que tout se corse. Par l’analyse du code, les processus automatiques peuvent détecter les malwares et autres dangers résidant dans l’application elle-même. Mais dès qu’il s’agit de jouer sur des nuances subtiles de noms (les logos étant souvent repris tels quels), il n’y a guère que l’examen humain qui puisse se révéler efficace. Avec jusqu’à plusieurs millions d’applications à inspecter, l’ampleur de la tâche sera colossale.
En résumé, et bien que les entreprises fassent des efforts pour réagir aussi rapidement que possible, l’attention de l’utilisateur est irremplaçable. Le problème se pose particulièrement pour tout ce qui concerne les achats en ligne, et il faudra donc faire attention à qui a publié l’application, et à d’autres indices comme les notes et les commentaires, même si les contenus français sont moins ciblés.
Commentaires (5)
#1
Le Times cite l’exemple d’une fausse application publiée par Overstock Inc., alors que la vraie société se nomme Overstock.com. Des entreprises se spécialisent également dans la conception rapide et sans trop y regarder d’applications pour le compte d’autres entités, en espérant que les clients « sont ce qu’ils prétendent être ».
Le souci pour une entreprise comme Apple, Google ou Microsoft, est alors de détecter efficacement la volonté de nuire. Et c’est bien là que tout se corse. Par l’analyse du code, les processus automatiques peuvent détecter les malwares et autres dangers résidant dans l’application elle-même. Mais dès qu’il s’agit de jouer sur des nuances subtiles de noms (les logos étant souvent repris tels quels), il n’y a guère que l’examen humain qui puisse se révéler efficace. Avec jusqu’à plusieurs millions d’applications à inspecter, l’ampleur de la tâche sera colossale.
Et puis c’est sans compter aussi la masse de marques plus ou moins connues, plus ou moins locales à l’échelle mondiale. Et il ne faut pas oublier aussi la façon dont les marques font leurs applis. Ce sont bien souvent des commandes et le processus d’enregistrement dans les stores n’est pas toujours hyper clean avec une précision claire de la marque comme “déposant” (il arrive souvent que l’appli pour une marque donnée soit déposée au nom du fournisseur/éditeur).
Bref, valider la légitimité d’une appli est une tache quasi impossible même pour des boites comme Apple ou Google. Qu’elles fassent déjà leur boulot pour détecter les menaces techniques (malwares), ça sera déjà bien. Apple y arrive à peu près, Google a encore du boulot…
#2
Ils ont qu’à demander à DeepMind
La solution sera soit de construire une IA pour trouver les amplis suspectes (dans certains cas y’a moyen d’avoir de bons résultats avec le lieu de provenance, l’IP d’upload, les fautes d’anglais, la reprise dun logo connu, la présence d’une demande de CB, etc), soit d’engager plein de personnes pour trouver à la main.
Économiquement et en termes de précision la meilleure étant sûrement la première à long terme.
Par contre François H. si tu nous lis y’a peut-être un truc à faire, appelle Apple.
#3
Je me suis souvent demandé dans les stores comment on authentifiait une appli…
Par exemple, j’installe depuis le google/apple store l’application de ma banque, ou l’application nextinpact.
Qu’est ce qui me garantit que c’est bien la bonne et que mes données de connexions vont être envoyées au bon endroit ?
#4
Pour nextinpact c’est simple, il n’y a pas d’app officielle sur l’applestore, celle présente sur le store est un fake, car il y a un logo avec une cible au lieu du logo en triangle
" />
" />
" />
#5
Apple connait les identifiants des développeurs engageant le certificat d’une société accréditée et vérifiée.
Il existe des lois commerciales internationales portant sur les noms d’entreprises alors peut-être faudrait-il vérifier, lors de la demande de mise en ligne d’une application sur l’appstore, si la société ou le nom propre du développeur ne se rapproche pas du nom d’une société reconnue déjà existante.
S’il y a problème ou que l’application doit tout de même être mise en ligne, alors qu’elle soit restreinte à son pays de création.
Plus facile à dire qu’à faire, c’est clair :)