Nouvelle boulette pour les équipes de vérification de l’App Store. Celles-ci ont laissé passer l’application Freecash qui, comme son nom l’indique, promettait de gagner de l’argent sans effort simplement en scrollant TikTok, en remplissant des sondages ou en jouant à des jeux. Conçue autour d’un modèle mêlant collecte de données sensibles, visionnage publicitaire et redirection vers des jeux mobiles, elle s’est hissée au sommet des classements de l’App Store, où elle est restée plusieurs mois avant d’être supprimée.

Selon Malwarebytes, l’application pouvait collecter des informations sur l'origine ethnique, la religion, la vie sexuelle, l'orientation sexuelle, la santé et d'autres données biométriques des utilisateurs. Malwarebytes explique que ce profilage visait à inciter les utilisateurs à regarder des pubs ou à installer des jeux mobiles pour y dépenser de l'argent. Le rapport cite des titres comme Monopoly Go ou Disney Solitaire.

L’app s’est fait connaître grâce à de nombreuses pubs sur TikTok, ce qui lui a permis de devenir temporairement la seconde application la plus téléchargée sur l’App Store américain. Cependant, TikTok a levé le pied sur les pubs en début d’année suite à des articles montrant que Freecash utilisait des techniques de marketing trompeuses et qu’elle incitait à dépenser de l’argent dans des jeux.

Freecash a tout de même réussi à rebondir. Selon les données d’Appfigures, l'application a été téléchargée 5,5 millions de fois en janvier dernier sur l'ensemble des boutiques d'applications, et est ensuite restée sur le podium des apps les plus installées de l’App Store. Comment a-t-elle réussi à grimper si haut ? TechCrunch a approfondi l’enquête et suspecte d'éventuelles fausses évaluations et une utilisation de bots pour générer du trafic. De quoi lui donner un succès à première vue légitime, ayant incité de plus en plus de gens à l’installer.

Ce trou dans la raquette d’Apple et Google a d’ailleurs servi d’argument. La maison mère a ainsi assuré que l’application était légitime étant donné… qu’elle était présente sur les deux boutiques et qu’elle passait régulièrement les vérifications de sécurité. Les deux applications ont depuis été retirées.

L’origine de l’app reste floue. Freecash a été mise en ligne le 24 mars 2024 avant d’être supprimée au mois de juin de la même année. Elle est cependant revenue quelques mois plus tard depuis un autre compte développeurs via la refonte d’une autre application. Cette technique est bien connue dans l’univers des arnaqueurs, et est évidemment interdite par les règles de l’App Store. Reste à savoir comment une application aussi contestée a pu rester visible aussi longtemps sans déclencher plus tôt l’intervention des plateformes.

Une vidéo publiée par la populaire chaîne YouTube Veritasium a déjà fait beaucoup parler d’elle. Il faut dire qu’elle exploite une faille particulièrement spectaculaire : une transaction Apple Pay est validée sur un iPhone verrouillé, sans l’accord de son propriétaire. Dans la vidéo, c’est Marques Brownlee qui joue le rôle de la victime en se faisant « dérober » 10 000 $ alors que son téléphone n’a jamais validé l’opération en restant verrouillé sur la table pendant toute la séquence. En théorie, quelqu’un pourrait ainsi voler de grosses sommes d’argent à l’insu de ses victimes.

Si la démonstration est impressionnante, inutile de paniquer trop vite. La vulnérabilité exploitée par Veritasium est en réalité déjà connue depuis 2021 et elle reste extrêmement difficile à mettre en œuvre. Elle est liée au mode transport express de l’iPhone, qui permet d’utiliser Apple Pay sans déverrouiller son smartphone avec Face ID. Elle nécessite aussi une carte Visa, puisque les autres réseaux de paiement, comme Mastercard, gèrent différemment les opérations et sont immunisés. Surtout, elle demande un matériel précis pour duper à la fois l’iPhone et le terminal de paiement.

Apple Pay : une faille du mode Express avec les cartes Visa

La vidéo détaille le fonctionnement assez sophistiqué de la faille. Elle implique d’avoir un lecteur NFC pour transmettre les données fournies et reçues par l’iPhone dans le cadre d’une transaction. Ce lecteur est relié à un ordinateur qui exécute un script Python chargé de modifier les informations pour tromper tous les appareils impliqués. Concrètement, le script fait en sorte que le paiement soit compatible avec le mode transport express, puis que la somme élevée demandée par le terminal de paiement soit ignorée.

Trois mesures de sécurité mises en place par Apple et les systèmes de paiement sont ainsi levées successivement pour aboutir à un paiement de 10 000 $ validé sans l’aval de Marques. La vidéo s’intéresse aussi aux raisons qui justifient l’existence maintenue de cette faille depuis près de cinq ans. Apple a une part de responsabilité, avec une gestion différente de celle de Samsung qui permet d’autoriser un paiement d’une grosse somme dans le mode transport express. Néanmoins, c’est surtout Visa qui est responsable en n’assurant pas une sécurité suffisante dans ce contexte.

Apple avait informé le réseau de paiement américain avant même la publication de la vulnérabilité en 2021. L’entreprise n’a pas souhaité modifier son système à l’époque et ce n’est manifestement toujours pas le cas. La vidéo se termine sur une interview d’un responsable qui explique que les risques sont suffisamment faibles pour une exploitation à grande échelle et que les personnes qui se font voler par ce biais pourront réclamer des remboursements. Cette réponse qui rejette la responsabilité sur la victime est bien peu satisfaisante, mais il faudra apparemment faire avec.

Le seul recours si vous voulez être protégé consiste à désactiver entièrement le mode transport express ou en tout cas, à ne l’activer que sur les cartes Mastercard. Comme la vidéo le détaille, il y a une couche supplémentaire de sécurité avec ce réseau de paiement qui fait que la faille ne peut plus être exploitée. Néanmoins, même avec une carte Visa en transport express, le risque d’être ciblé par cette attaque reste très faible.

Si Apple a souvent tendance à présenter son App Store comme un endroit sûr pour les consommateurs, la réalité est parfois loin des discours marketing. Les chercheurs et journalistes signalent régulièrement la présence d’apps permettant de déshabiller des personnes par IA. Selon un rapport du Tech Transparency Project (TTP), de telles apps sont toujours présentes sur l’App Store et le Google Play. Pire, elles sont même parfois mises en avant.

Le TTP a testé 46 apps sur l’App Store et 49 sur Google Play. Parmi elles, 18 côté Apple et 20 côté Google permettaient effectivement de déshabiller des femmes ou de les afficher légèrement vêtues. Elles auraient rapporté plus de 122 millions de dollars et été téléchargées 483 millions de fois.

Le groupe a constaté qu’environ 40 % des apps remontées dans les résultats de recherches telles que « nudify », « undress » et « deepnude » pouvaient « afficher des femmes nues ou légèrement vêtues ». TTP a contacté les développeurs de ces apps, et l’un d’entre eux a confié se baser sur… Grok, qui avait justement fait les gros titres pour ses dérives en début d’année. Le rapport précise toutefois que Grok n’a pas été comptabilisé dans le total des apps de déshabillage, car les tests de TTP ont montré qu’il bloquait les tentatives de retrait de vêtements sur des images importées.

La directrice du TTP a déclaré auprès de Bloomberg estimer que les plateformes « dirigeaient les utilisateurs » vers ce type d’apps. En effet, les boutiques ont parfois tendance à compléter les recherches avec certains termes douteux. Plusieurs apps de deepfakes se sont retrouvées dans les résultats de recherche sponsorisés des échoppes. Beaucoup d’entre elles étaient classées comme adaptées aux mineurs, ce qui signifie qu’elles pouvaient être téléchargées par des enfants. Le rapport en a relevé pas moins de 31.

Deepfakes : la pudeur à géométrie variable d'Apple et Google

Apple n’a pas répondu aux questions du TTP, mais a supprimé 15 des applications mentionnées après le signalement du groupe et de Bloomberg. De son côté, Google a expliqué que beaucoup des apps citées avaient été suspendues et que son enquête était toujours en cours.

Amazon vient de lancer le Fire TV Stick HD, une nouvelle clé de streaming destinée à connecter les téléviseurs hors ligne ou vieillissants. Présenté comme le modèle HD le plus fin de la gamme, l’accessoire mise sur un format plus discret pensé pour rester à domicile comme pour un usage nomade. Il sera bientôt vendu en France pour 44,99 €.

Avec ce nouveau produit, Amazon affine surtout une formule déjà bien installée. Cette révision est environ 30 % plus fine que la précédente génération HD et peut être alimentée directement en USB, ce qui sera pratique pour se brancher sur le port USB du téléviseur (ou toujours via un adaptateur secteur dédié). L’idée reste donc de proposer une expérience simple à installer et ne prenant pas trop de place derrière la TV, quelques millimètres de moins pouvant faire la différence.

La marque met aussi en avant de meilleures performances. Selon Amazon, ce nouveau modèle est en moyenne plus de 30 % plus rapide que le précédent Fire TV Stick HD, donnant des démarrages et des ouvertures d’applications plus rapides. De plus, l’appareil prend désormais en charge le Wi-Fi 6 et le Bluetooth 5.3. Contrairement au Fire TV Stick 4K, il reste pensé pour les TV HD de moins de 50".

L’accessoire fait la part belle à une nouvelle interface lancée l’année dernière qui devrait donner une navigation plus claire et une meilleure ergonomie. Ce Fire TV Stick HD intègre aussi Alexa+, la version enrichie de l’assistant vocal carburant à l’IA. Celle-ci n’est pour le moment disponible qu’aux États-Unis, au Canada et au Royaume-Uni. Elle ne devrait plus trop tarder d'être déployée dans l'Hexagone.

Alexa+ : la nouvelle version de l’assistant d’Amazon arrive en bêta en France

Il s’agit donc d’une petite évolution qui pourrait intéresser les clients cherchant à moderniser une vieille TV. La date de mise en vente n’est pas encore connue, mais la fiche produit est d’ores et déjà en ligne. Attention à ne pas vous faire avoir : l’ancienne version est toujours en vente à ce lien.

« La France est le pays d’Europe où il y a le plus de vols de véhicules. Il y en a un toutes les quatre minutes. Et cela passe à un par minute si l’on compte les vélos et les trottinettes », déclare Cyril à nos confrères du Dauphiné Libéré. Face à ce constat alarmant, ce policier installé dans le Gard a décidé, avec un collègue, de passer à l'action. Leur réponse prend la forme d'une application nommée Lamp, conçue pour s’attaquer frontalement à ce fléau.

Chasseurs de primes 2.0

Le concept repose sur un levier vieux comme le monde, mais remis au goût du jour numérique : l'incitation financière. Pour motiver les troupes, chaque découverte est récompensée par une prime de 100 euros au bas mot. Mais le curseur peut monter bien plus haut selon le désespoir ou les moyens de la victime. Cyril mentionne notamment le cas d'un utilisateur ayant mis sur la table une prime de 15 000 euros pour retrouver son bien.

Au-delà du cash pur et dur, l'entreprise planche sur des partenariats avec des marques pour proposer des bonus convertibles en bons d’achat dans diverses enseignes. Sur le papier, le montage est vertueux : les victimes augmentent leurs chances de retrouver leur véhicule, les assureurs limitent les frais d’indemnisation et les utilisateurs les plus vigilants s’offrent un complément de revenus non négligeable.

Un scan et puis s'en va

Techniquement, Lamp centralise une base de données des véhicules déclarés disparus. Lorsqu'un utilisateur croise un véhicule qui lui semble « suspect », il n'a qu'à dégainer son smartphone. L'application permet alors de scanner la plaque d’immatriculation, le numéro gravé sur les vitres ou, pour les mobilités douces, le numéro de série d’un vélo ou d’une trottinette. Le service couvre aussi les bateaux et les remorques.

L'aspect le plus malin du dispositif réside dans la sécurité du « veilleur ». Une fois le scan effectué et l'identification confirmée, l'utilisateur n'a strictement rien à faire. Pas besoin d'intervenir ou de jouer les justiciers de quartier : il continue sa route pendant que l'application transmet automatiquement les coordonnées géographiques et les informations nécessaires aux forces de l’ordre.

Un camion contenant pour 15 millions de dollars de produits Apple et AMD disparaît dans la nature

Comme souvent avec ce genre de plateforme, le nerf de la guerre reste la taille de la communauté. « Plus nous aurons d’abonnés et plus le maillage du territoire sera fort », insiste le cofondateur. L'idée est de transformer chaque citoyen en acteur de la sécurité collective, un enjeu crucial quand on sait que les vols sans effraction sont souvent les parents pauvres des contrats d'assurance.

Et les premiers résultats sont là. L'histoire de Matteo est à ce titre exemplaire : après avoir vendu sa Mercedes pour 22 000 €, il s'est retrouvé victime d'une arnaque au virement. Sans recours auprès de son assurance, il a inscrit son véhicule sur Lamp. Quarante-huit heures plus tard, sa voiture était localisée en Allemagne. Comme quoi, il y a vraiment une app pour tout, même pour réparer les injustices.