Des dizaines d’apps frauduleuses contournent le programme de certificat d’entreprise d’Apple

Mickaël Bazoge |

Facebook et Google ne sont pas les seuls éditeurs à exploiter les faiblesses du programme de certificat d’entreprise d’Apple. Ce sésame permet de distribuer des applications en dehors de toute supervision du constructeur. S’il a été conçu dans l’optique de simplifier le déploiement d’apps auprès des employés d’une entreprise ou d’une organisation, ce certificat permet aussi aux plus malins de passer outre les règles de l’App Store et de fournir des apps qui contournent dans les grandes largeurs les règles de bonne conduite de l’App Store.

Ces apps porno et de paris peuvent être téléchargées sur un iPhone grâce au programme de certificat d’entreprise.

Cela a été le cas avec Facebook et Google, qui distribuaient par le biais du certificat d’entreprise des applications de collecte de données. Le scandale a poussé Apple à révoquer les certificats de ces deux grands noms, avant qu’ils ne soient restaurés (lire : Facebook : Apple a déjà utilisé l'arme de la révocation de certificat mais jamais aussi fort).

TechCrunch, en pointe dans ce dossier, a pu constater que d’autres éditeurs se servaient également de ce chemin de traverse pour livrer des apps qui, sans certificat, n’auraient aucune chance d’être validées par l’App Store. Des applications porno et de paris d’argent, notamment. Des centaines de sites web interlopes proposent à leurs utilisateurs d’installer ce genre d’applications en dehors de la boutique d’Apple. Et pas besoin de jailbreak.

Une de ces apps porno qui s’installent via un certificat d’entreprise.

Obtenir un certificat d’entreprise n’est pas si compliqué. Il faut débourser 299 $ pour souscrire au programme, remplir un formulaire et fournir un numéro D-U-N-S que l’on peut subtiliser assez facilement en fouillant un peu sur Google. Un représentant d’Apple passe ensuite un coup de fil à la personne ressource, qui n’a qu’à assurer de son respect le plus total des règles du programme. Cela demande quelques mensonges et un peu d’attente (quelques semaines), et le certificat est dans la poche.

Suite aux affaires Facebook et Google, Apple a commencé à faire le ménage dans les étagères de sa boutique. Quelques unes des apps frauduleuses ont vu leurs certificats révoqués, mais beaucoup d’entre elles restent fonctionnelles. Dans un communiqué, le constructeur confirme que les développeurs en infraction avec le programme d’entreprise se verront supprimer leur certificat. Le porte-parole confirme aussi qu’Apple évalue continuellement les cas douteux.

Ce site de paris promeut son app iOS qui n’a certainement pas obtenu le feu vert de l’App Store.

L’expert en sécurité Will Strafach a examiné des applications distribuées par le biais du certificat d’entreprise d’Apple. Celles-ci ne sont a priori pas malveillantes, mais elles enfreignent les règles. Certaines peuvent embarquer des traqueurs et du code pour des adwares, mais dans des proportions moins importantes que chez Facebook ou Google. Cette nouvelle affaire devrait pousser Apple à resserrer les règles de son programme de certificat d’entreprise.

avatar pfx | 

Est-ce que l’expert en sécurité à testé PP25 et ses successeurs ? :p

avatar Sindanárië | 

@pfx

Ouais c bon

avatar PierreBondurant | 

Toujours émerveillé / étonné de l’inventivité de l’homme dès qu’il y a un billet à se faire! 🤑😉

avatar marenostrum | 

l'app offre le même service que le site internet (ça fait pas gagner plus d'argent, au contraire le site développe en plus, un app pour proposer le même service), mais de manière plus sure. tu ne passes pas par ton navigateur mais directement via l'application, en éliminant des boites de traçage, genre Google, Facebook, Apple lui-même et plein d'autres (le gouvernement chinois par ex), de connaitre tes fréquentations.

les services de cul et de jeux d'argent sont pour la chine qui interdit ce genre de sites dans son pays.

avatar PierreBondurant | 

@marenostrum

Ok, intéressant. Pour pas être traçable, faut que l’app se connecte directement aux serveurs de son créateur via VPN non?

avatar marenostrum | 

en tout cas ces apps ne peuvent pas tomber dans les mains d'innocents. les gens qui les installent ils savent à quoi ça sert et ce qu'ils risquent en les utilisant.

Apple a les clefs de notre appartement en fait, nous interdisant d'inviter des amis. normal qu'après y en a qui veulent utiliser les fenêtres pour leurs invités.

avatar JOHN³ | 

Mais Apple c’est secure on vous dit 😗

avatar bugman | 

@JOHN³

Ça l’est puisqu’il faut un certificat de sécurité. C’est ce qu’Apple avait prévu pour les entreprises. Et ça fonctionne puisque sans le certificat, l’application ne fonctionne pas. Bref, prendre ses responsabilités.

avatar marenostrum | 

oui, comme le dit l'expert il s'agit pas d'apps malveillantes, mais des apps qui ne respectent pas les conditions d'utilisation de App Store (distribution pour les entreprises).

avatar Bigdidou | 

@JOHN³

« Mais Apple c’est secure on vous dit 😗 »

Heu, là pour le coup,faut vraiment vouloir installer ces apps.

avatar irep | 

Ce sont les apps qui sont porno ou leur contenu? Je suis perdu.

Sinon, il y a une coquille à inter_lopes, il manque une syllabe.

(Habituellement je donne jamais dans la grivoiserie… sorry)

avatar pagaupa | 

Que de la façade!

CONNEXION UTILISATEUR