Ouvrir le menu principal

iGeneration

Recherche

Les certificats d'entreprise exploités par des plateformes d'apps piratées

Stéphane Moussie

mardi 19 février 2019 à 17:30 • 11

App Store

Semaine après semaine, on en apprend des vertes et des pas mûres sur les certificats d’entreprise distribués par Apple. Alors que ces certificats sont uniquement destinés à distribuer des applications iOS au sein d’une entreprise, ils ont été détournés par Facebook et Google pour mettre à disposition de personnes extérieures des apps d’analyse d’usage et par d’autres éditeurs pour distribuer des apps qui n’ont pas droit de cité dans l’App Store (apps porno et de paris d’argent, notamment).

Mais ce n’est pas tout. Les certificats d’entreprise sont également détournés par des personnes peu scrupuleuses pour publier des versions piratées d’applications populaires, qui s'installent ainsi simplement et sans jailbreak. Reuters indique que des plateformes comme TutuApp, Panda Helper, AppValley ou TweakBox distribuent par exemple gratuitement Minecraft, qui coûte normalement 7,99 €, ainsi qu’une version gratuite de Spotify expurgée de pubs.

Le phénomène n’est pas nouveau, mais il revient dans l’actualité à la suite des autres abus autour des certificats ainsi que des mesures prises récemment par plusieurs éditeurs, dont Apple, pour lutter contre ce marché clandestin. Car les plateformes ne se contentent pas de distribuer des applications piratées, elles en font le commerce.

Certaines applications originales ne voient pas leurs pubs supprimées, au contraire, les malandrins en ajoutent à celles qui n’en ont pas pour mieux vendre derrière un service « VIP » payant comprenant des apps piratées sans pub et plus complètes.

L’éditeur Creaceed est une des victimes de ce type de magouille, comme il nous le raconte :

Fin 2017 nous avons vu remonter des crash reports étranges, qui montraient un crash d’une ancienne version de notre app Hydra dans un framework que nous n’avions pas mis nous-mêmes. Après recherche, nous avons vu qu’il s’agissait de bannières de pub (Hydra n’a jamais eu ça, aucune de nos apps d’ailleurs). On a croisé avec les données de l’analytics et vu que plus de 5 000 instances de cette app étaient utilisées. On a remonté la chaîne et vu que TutuApp était responsable, et qu’ils offraient un abonnement unique à 13 $ par an qui donnait accès à un catalogue d’apps populaires trafiquées (ajout de bannière de pub par injection d’un framework et re-signées) en illimité, les développeurs ne touchant rien et n’ayant pas donné leur autorisation.

Spotify a récemment écrit noir sur blanc dans ses conditions générales que bloquer la publicité de son offre gratuite était interdit et pouvait conduire à la fermeture du compte utilisateur. Rovio et Niantic, les créateurs respectifs d’Angry Birds et Pokémon GO, ont confirmé à Reuters faire la chasse aux utilisateurs pirates.

« Les développeurs [peuvent] mettre du code de détection pour vérifier que l’app n’a pas été hackée, nous indique Creaceed, mais c’est difficile de contrôler si ça marche, et puis c’est une escalade constante avec les hackers qui finalement n’est pas très porteuse par rapport à bosser sur des vraies features. »

Pour empêcher la distribution d’apps frauduleuses, Apple révoque de son côté les certificats utilisés à mauvais escient, mais de nouveaux sont ensuite exploités dans la foulée par les malandrins. L’identification à deux facteurs obligatoire pour les développeurs à partir de la semaine prochaine s’inscrirait dans la lutte contre le piratage.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Sortie de veille : après le départ du n°2 d’Apple, Tim Cook est-il le prochain sur la liste ?

12/07/2025 à 10:44

• 42


Apple serait en pole position pour diffuser la F1 aux États-Unis avec une offre à 150 millions de dollars 🆕

12/07/2025 à 07:56

• 32


Prime Day : les derniers bons plans pour équiper sa maison en domotique

11/07/2025 à 20:50

• 14


La Chine s'attaque aux batteries externes de mauvaise qualité, ce qui cause des remous chez les fabricants

11/07/2025 à 20:15

• 33


Les produits Wemo de Belkin sont poussés à la retraite sauf s'ils utilisent HomeKit

11/07/2025 à 19:30

• 8


Prime Day : découvrez les joies de DockKit avec de belles promotions

11/07/2025 à 16:45

• 0


Orange fait des essais de 5G dans la bande des 6 GHz, et les résultats sont intéressants

11/07/2025 à 15:37

• 6


Prime Day : des traqueurs Localiser dès 12 €, des étuis à lunettes, des porte-passeports, des cartes pour le portefeuille, les meilleurs accessoires en promotion

11/07/2025 à 15:10

• 11


Nintendo peut bannir une Switch 2 à cause d'un jeu acheté d'occasion (mais ce n'est pas toujours définitif)

11/07/2025 à 11:31

• 56


France Identité : des correctifs disponibles pour la carte grise et les grands iPhone

11/07/2025 à 10:31

• 15


iPad, MacBook Pro/Air, iPhone 17e : tous les nouveaux produits attendus d’ici le printemps 2026

11/07/2025 à 06:46

• 22


Notre top 5 des accessoires à avoir pendant les vacances (et en promo) !

10/07/2025 à 21:40

• 26


Apple échappe à un procès pour entente illégale sur Apple Pay aux USA

10/07/2025 à 21:15

• 10


Test de la sonnette vidéo G410 d’Aqara : toujours sur piles, mais avec un meilleur angle

10/07/2025 à 20:30

• 7


Une nouvelle fuite présente la possible maquette de l’iPhone 17 Pro noir

10/07/2025 à 20:00

• 79


Samsung aurait lancé la production de l’écran du futur iPhone pliable

10/07/2025 à 14:41

• 10