Les certificats d'entreprise exploités par des plateformes d'apps piratées

Stéphane Moussie |

Semaine après semaine, on en apprend des vertes et des pas mûres sur les certificats d’entreprise distribués par Apple. Alors que ces certificats sont uniquement destinés à distribuer des applications iOS au sein d’une entreprise, ils ont été détournés par Facebook et Google pour mettre à disposition de personnes extérieures des apps d’analyse d’usage et par d’autres éditeurs pour distribuer des apps qui n’ont pas droit de cité dans l’App Store (apps porno et de paris d’argent, notamment).

Mais ce n’est pas tout. Les certificats d’entreprise sont également détournés par des personnes peu scrupuleuses pour publier des versions piratées d’applications populaires, qui s'installent ainsi simplement et sans jailbreak. Reuters indique que des plateformes comme TutuApp, Panda Helper, AppValley ou TweakBox distribuent par exemple gratuitement Minecraft, qui coûte normalement 7,99 €, ainsi qu’une version gratuite de Spotify expurgée de pubs.

Le phénomène n’est pas nouveau, mais il revient dans l’actualité à la suite des autres abus autour des certificats ainsi que des mesures prises récemment par plusieurs éditeurs, dont Apple, pour lutter contre ce marché clandestin. Car les plateformes ne se contentent pas de distribuer des applications piratées, elles en font le commerce.

Certaines applications originales ne voient pas leurs pubs supprimées, au contraire, les malandrins en ajoutent à celles qui n’en ont pas pour mieux vendre derrière un service « VIP » payant comprenant des apps piratées sans pub et plus complètes.

L’éditeur Creaceed est une des victimes de ce type de magouille, comme il nous le raconte :

Fin 2017 nous avons vu remonter des crash reports étranges, qui montraient un crash d’une ancienne version de notre app Hydra dans un framework que nous n’avions pas mis nous-mêmes. Après recherche, nous avons vu qu’il s’agissait de bannières de pub (Hydra n’a jamais eu ça, aucune de nos apps d’ailleurs). On a croisé avec les données de l’analytics et vu que plus de 5 000 instances de cette app étaient utilisées. On a remonté la chaîne et vu que TutuApp était responsable, et qu’ils offraient un abonnement unique à 13 $ par an qui donnait accès à un catalogue d’apps populaires trafiquées (ajout de bannière de pub par injection d’un framework et re-signées) en illimité, les développeurs ne touchant rien et n’ayant pas donné leur autorisation.

Spotify a récemment écrit noir sur blanc dans ses conditions générales que bloquer la publicité de son offre gratuite était interdit et pouvait conduire à la fermeture du compte utilisateur. Rovio et Niantic, les créateurs respectifs d’Angry Birds et Pokémon GO, ont confirmé à Reuters faire la chasse aux utilisateurs pirates.

« Les développeurs [peuvent] mettre du code de détection pour vérifier que l’app n’a pas été hackée, nous indique Creaceed, mais c’est difficile de contrôler si ça marche, et puis c’est une escalade constante avec les hackers qui finalement n’est pas très porteuse par rapport à bosser sur des vraies features. »

Pour empêcher la distribution d’apps frauduleuses, Apple révoque de son côté les certificats utilisés à mauvais escient, mais de nouveaux sont ensuite exploités dans la foulée par les malandrins. L’identification à deux facteurs obligatoire pour les développeurs à partir de la semaine prochaine s’inscrirait dans la lutte contre le piratage.

avatar shaba | 

C’est tout sauf nouveau ce genre de choses... et l’authentification a double facteur n’y changera rien, certains AppStores parallèles ont déjà communiqué la dessus.

avatar armandgz123 | 

@shaba

Exactement

avatar huexley | 

Une procédure de contournement simple etait postée sur Reddit je crois 15min après que j'ai vu la news sur la double auth. Passer sur MacRumors.

avatar shaba | 

@huexley

Il n’y a aucun contournement, la double authentification ne concernent que les titulaires du compte, pas ceux qui installent les applications :)
Mais j’aimerais bien le lien du fil Reddit ou de macrumors si tu les retrouves :) merci !

avatar Nesus | 

Faut quand même être sacrément taré pour installer un certificat d’une personne qu’on ne connaît pas. Il n’y a aucune limite une fois que le certificat est installé.

avatar turismo | 

@Nesus

Mais est ce que les gens en ont conscience ?

avatar Nesus | 

@turismo

Vu toutes les alertes que tu as quand tu installes un certificat, normalement, tu dois quand même commencer à te poser des questions.

avatar lome_bbrr | 

ça me fait penser.. je n'y connais rien en dév, mais quand j'ai pris SFR l'an dernier, pour que je puisse avoir les données mobiles, j'ai dû installer un certificat SFR..
du coup vous trouvez cela normal ou pas du tout?

avatar Nesus | 

@lome_bbrr

Absolument pas. Ça veut dire qu’SFR peut faire tout ce qu’il lui chante sur ton tel.

avatar Rigby | 

@lome_bbrr

Euh je suis chez SFR et j’ai aucun profil d’enregistré sur mon téléphone, et la data fonctionne 🤔

avatar lome_bbrr | 

alors après vérification, je n'ai plus ce certificat.
Mais c'est sûr que je l'avais installé. Bizarre du coup. Peut être suite à une MAJ d'iOS ?

CONNEXION UTILISATEUR