Ouvrir le menu principal

iGeneration

Recherche

L'App Store ne protège pas contre les apps parasites qui siphonnent les cryptos

Mickaël Bazoge

mardi 30 mars 2021 à 20:00 • 42

App Store

Les amateurs de cryptomonnaie doivent redoubler de méfiance au moment de confier leurs précieux bitcoins et autre ethereums à des applications mobiles. L'App Store et le Play Store font figure de far-west pour les malandrins qui savent parfaitement exploiter les failles des boutiques d'apps. Le Washington Post relate la malheureuse expérience de Phillipe Christodoulou, qui s'est fait siphonner 17,1 bitcoins — plus de 850 000 € — en voulant consulter son compte dans une app parasite.

Crédit : Mohamed Hassan, Pixabay

Cette application se disait l'émanation de Trezor, un constructeur de portefeuille « matériel » de cryptos, qui prend la forme d'un adaptateur USB. Celle-ci contient les informations de connexion au compte ; pour accéder au compte présent dans le portefeuille, il faut brancher la clé sur l'ordinateur, saisir un mot de passe et parfois une phrase d'identification. En cas de perte du module, une phrase « seed » (mnémonique) permet de restaurer ces informations.

Les forbans tentent de soutirer cette phrase seed, ce qui leur permet de se connecter au compte et de piquer toutes les cryptos du portefeuille. C'est exactement le mode opératoire de cette application, et c'est de cette manière que le pauvre Christodoulou s'est fait avoir. Et malheureusement, il n'existe pas de recours… sauf à s'en prendre directement aux plateformes d'apps. Apple vante régulièrement un « endroit sûr et fiable » pour découvrir et télécharger des applications, mais le constructeur ne peut pas faire grand chose dans certains cas.

En ce qui concerne le cas de cette app parasite, elle s'est présentée au mois de janvier sous la forme d'un gestionnaire de mots de passe. Puis ses fonctionnalités ont changé pour devenir un siphon à cryptomonnaies, à l'insu d'Apple qui n'autorise pas du tout ces tours de passe-passe. L'App Store ne peut compter que sur les signalements des utilisateurs pour supprimer une telle app de ses rayons.

Trezor a signalé la présence de l'app parasite à Apple et à Google. Un processus « douloureux » selon une porte-parole de l'entreprise qui ne compte aucune app mobile à son actif (même si elle en développe une actuellement). Apple a néanmoins réagi rapidement en supprimant l'application deux jours plus tard. Mais peu de temps après, elle était de retour dans l'App Store…

Un représentant d'Apple explique que l'App Store n'autorise pas les applications qui « induisent les utilisateurs en erreur, en usurpant l'identité d'autres applications, développeurs ou entreprises ». Il assure qu'Apple prend « les mesures appropriées » quand elle découvre qu'une app enfreint les règles. Même message du côté de Google, avec un Play Store qui a vu une éclosion d'apps « inspirées » de Trezor (huit, selon App Figures).

Si Apple interdit les apps permettant de miner des cryptos, les applications de type wallet sont autorisées sous conditions. Cette histoire intervient à un moment critique pour l'App Store, attaqué de toutes parts par les régulateurs et certains développeurs (lire : L'App Store toujours engorgé d'applications parasites, Apple répond). L'argument de la sécurité et de la sûreté revient beaucoup dans la bouche d'Apple, mais ces exemples mettent à mal le beau discours.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Espionnage d’iPhone : un journaliste italien alerté par Apple

15:07

• 0


Spotify, Match et d’autres se liguent (encore) contre Apple et Google

12:30

• 5


Apple mord la poussière face à Epic, mais ne rend pas les armes

09:56

• 45


Nos trucs et astuces pour mieux utiliser Apple Pay sur votre iPhone

08:54

• 21


Pourquoi Telegram et Signal menacent de quitter la France, voire l’Union européenne

30/04/2025 à 22:00

• 101


Le CEO de Google confirme discuter avec Apple pour intégrer Gemini à Siri d’ici la fin de l’année

30/04/2025 à 21:30

• 27


Apple ne propose plus de nouvelle couleur au printemps, et les (Product)RED semblent définitivement enterrés

30/04/2025 à 21:00

• 18


OpenAI enlève GPT-4, et supprime le côté flatteur de l’IA pour la rendre plus efficace et économiser des millions de dollars

30/04/2025 à 20:15

• 14


La puce de la Nintendo Switch 2 est plus grosse qu'une puce M4… parce que Nintendo emploie de vieilles technologies

30/04/2025 à 18:15

• 36


Promo : des batteries magnétiques Anker et Ugreen à partir de 36 €

30/04/2025 à 17:52

• 17


Carrefour propose 15 % de réduction sur des produits Apple (comme les AirPods Max) si vous avez la carte de fidélité

30/04/2025 à 16:49

• 27


De nombreuses failles corrigées dans AirPlay et CarPlay, des piliers de la stratégie d'Apple

30/04/2025 à 16:10

• 11


Raycast arrive sur l’iPhone, essentiellement pour les fonctions liées à l’IA

30/04/2025 à 13:53

• 3


French Days : l'iPhone 13 à 599 € avec 512 Go

30/04/2025 à 11:29

• 20


B&You ajoute des frais de résiliation sur tous ses forfaits

30/04/2025 à 10:55

• 63


LG plante le dernier clou sur le cercueil de ses smartphones en fermant les serveurs de mises à jour

30/04/2025 à 10:33

• 5