Semaine après semaine, on en apprend des vertes et des pas mûres sur les certificats d’entreprise distribués par Apple. Alors que ces certificats sont uniquement destinés à distribuer des applications iOS au sein d’une entreprise, ils ont été détournés par Facebook et Google pour mettre à disposition de personnes extérieures des apps d’analyse d’usage et par d’autres éditeurs pour distribuer des apps qui n’ont pas droit de cité dans l’App Store (apps porno et de paris d’argent, notamment).

Mais ce n’est pas tout. Les certificats d’entreprise sont également détournés par des personnes peu scrupuleuses pour publier des versions piratées d’applications populaires, qui s'installent ainsi simplement et sans jailbreak. Reuters indique que des plateformes comme TutuApp, Panda Helper, AppValley ou TweakBox distribuent par exemple gratuitement Minecraft, qui coûte normalement 7,99 €, ainsi qu’une version gratuite de Spotify expurgée de pubs.

Le phénomène n’est pas nouveau, mais il revient dans l’actualité à la suite des autres abus autour des certificats ainsi que des mesures prises récemment par plusieurs éditeurs, dont Apple, pour lutter contre ce marché clandestin. Car les plateformes ne se contentent pas de distribuer des applications piratées, elles en font le commerce.

Certaines applications originales ne voient pas leurs pubs supprimées, au contraire, les malandrins en ajoutent à celles qui n’en ont pas pour mieux vendre derrière un service « VIP » payant comprenant des apps piratées sans pub et plus complètes.

L’éditeur Creaceed est une des victimes de ce type de magouille, comme il nous le raconte :

Fin 2017 nous avons vu remonter des crash reports étranges, qui montraient un crash d’une ancienne version de notre app Hydra dans un framework que nous n’avions pas mis nous-mêmes. Après recherche, nous avons vu qu’il s’agissait de bannières de pub (Hydra n’a jamais eu ça, aucune de nos apps d’ailleurs). On a croisé avec les données de l’analytics et vu que plus de 5 000 instances de cette app étaient utilisées. On a remonté la chaîne et vu que TutuApp était responsable, et qu’ils offraient un abonnement unique à 13 $ par an qui donnait accès à un catalogue d’apps populaires trafiquées (ajout de bannière de pub par injection d’un framework et re-signées) en illimité, les développeurs ne touchant rien et n’ayant pas donné leur autorisation.

Spotify a récemment écrit noir sur blanc dans ses conditions générales que bloquer la publicité de son offre gratuite était interdit et pouvait conduire à la fermeture du compte utilisateur. Rovio et Niantic, les créateurs respectifs d’Angry Birds et Pokémon GO, ont confirmé à Reuters faire la chasse aux utilisateurs pirates.

« Les développeurs [peuvent] mettre du code de détection pour vérifier que l’app n’a pas été hackée, nous indique Creaceed, mais c’est difficile de contrôler si ça marche, et puis c’est une escalade constante avec les hackers qui finalement n’est pas très porteuse par rapport à bosser sur des vraies features. »

Pour empêcher la distribution d’apps frauduleuses, Apple révoque de son côté les certificats utilisés à mauvais escient, mais de nouveaux sont ensuite exploités dans la foulée par les malandrins. L’identification à deux facteurs obligatoire pour les développeurs à partir de la semaine prochaine s’inscrirait dans la lutte contre le piratage.