L'App Store ne protège pas contre les apps parasites qui siphonnent les cryptos

Mickaël Bazoge |

Les amateurs de cryptomonnaie doivent redoubler de méfiance au moment de confier leurs précieux bitcoins et autre ethereums à des applications mobiles. L'App Store et le Play Store font figure de far-west pour les malandrins qui savent parfaitement exploiter les failles des boutiques d'apps. Le Washington Post relate la malheureuse expérience de Phillipe Christodoulou, qui s'est fait siphonner 17,1 bitcoins — plus de 850 000 € — en voulant consulter son compte dans une app parasite.

Crédit : Mohamed Hassan, Pixabay

Cette application se disait l'émanation de Trezor, un constructeur de portefeuille « matériel » de cryptos, qui prend la forme d'un adaptateur USB. Celle-ci contient les informations de connexion au compte ; pour accéder au compte présent dans le portefeuille, il faut brancher la clé sur l'ordinateur, saisir un mot de passe et parfois une phrase d'identification. En cas de perte du module, une phrase « seed » (mnémonique) permet de restaurer ces informations.

Les forbans tentent de soutirer cette phrase seed, ce qui leur permet de se connecter au compte et de piquer toutes les cryptos du portefeuille. C'est exactement le mode opératoire de cette application, et c'est de cette manière que le pauvre Christodoulou s'est fait avoir. Et malheureusement, il n'existe pas de recours… sauf à s'en prendre directement aux plateformes d'apps. Apple vante régulièrement un « endroit sûr et fiable » pour découvrir et télécharger des applications, mais le constructeur ne peut pas faire grand chose dans certains cas.

En ce qui concerne le cas de cette app parasite, elle s'est présentée au mois de janvier sous la forme d'un gestionnaire de mots de passe. Puis ses fonctionnalités ont changé pour devenir un siphon à cryptomonnaies, à l'insu d'Apple qui n'autorise pas du tout ces tours de passe-passe. L'App Store ne peut compter que sur les signalements des utilisateurs pour supprimer une telle app de ses rayons.

Trezor a signalé la présence de l'app parasite à Apple et à Google. Un processus « douloureux » selon une porte-parole de l'entreprise qui ne compte aucune app mobile à son actif (même si elle en développe une actuellement). Apple a néanmoins réagi rapidement en supprimant l'application deux jours plus tard. Mais peu de temps après, elle était de retour dans l'App Store…

Un représentant d'Apple explique que l'App Store n'autorise pas les applications qui « induisent les utilisateurs en erreur, en usurpant l'identité d'autres applications, développeurs ou entreprises ». Il assure qu'Apple prend « les mesures appropriées » quand elle découvre qu'une app enfreint les règles. Même message du côté de Google, avec un Play Store qui a vu une éclosion d'apps « inspirées » de Trezor (huit, selon App Figures).

Si Apple interdit les apps permettant de miner des cryptos, les applications de type wallet sont autorisées sous conditions. Cette histoire intervient à un moment critique pour l'App Store, attaqué de toutes parts par les régulateurs et certains développeurs (lire : L'App Store toujours engorgé d'applications parasites, Apple répond). L'argument de la sécurité et de la sûreté revient beaucoup dans la bouche d'Apple, mais ces exemples mettent à mal le beau discours.


Tags
avatar Bigdidou | 

Il s’est produit la même chose avec la clé Ledger (un clone de l’app Ledger live).
L’app clone (le scam, donc) n’a disparu qu’il y a quelque jours.
Il était signalé dans les commentaires de l’app, ça m’a évité de le faire avoir, mais ça m’a surpris...

Bref...

avatar R-APPLE-R | 

@Bigdidou

Du coup comment être sur et sécuriser ces Cripto monnaie ?

avatar kelkun | 

@R-APPLE-R

En maîtrisant le monde des cryptos avant d’y mettre des fortunes.
En vérifiant le développeur des applications et en utilisant que des services qui existent toujours après plusieurs années d’activité.
En ne donnant pas sa phrase secrète vu que le but c’est justement de ne pas la donner.
Et en activant toujours une solution à deux facteurs, avec Google Authentificator par exemple.
Et en conservant ses phrases secrètes et master key sur du papier que personne ne peut trouver, ou des appareils qui ne peuvent pas se connecter à internet. C’est toujours mieux.

Enfin pas quand t’as 100 balles. Mais dans le cas du mec ça aurait été le minimum à faire ☺️

avatar R-APPLE-R | 

@kelkun

Ha oui ça fait peur efficacement 😬

avatar Bigdidou | 

@R-APPLE-R

« Du coup comment être sur et sécuriser ces Cripto monnaie ? »

Ben en utilisant les vrais outils.
Mais c’est vrai que c’est attaqué de toute part et il faut être très vigilant voire parano.
Après, la sécurité est intégrée à l’usage de ces outils.

avatar daxr1der | 

@R-APPLE-R

Trust Wallet qui est une app wallet qui appartient à Binance 😊

Sinon je vous conseil le token UBXT de UpBot que vous trouverez sur l’exchange FTX qui est sous évalué et qui a un énorme potentiel, avec un tokenomics intéressant. Du stack rewards à 25% sur FTX et un burn de 50%, il y a un max supply à 500 000 000. Prometteur dans les semaines et mois à venir, grosse communication en avril sur Coingecko et autres...

https://ftx.com/#a=16120051

avatar R-APPLE-R | 

@daxr1der

Merci mais là ça devient du chinois pour moi 😆

avatar fte | 

Oh mince alors, l’argument de l’écosystème protégé ne tient pas la route ? Flûte.

avatar bibi81 | 

Oh mince alors, l’argument de l’écosystème protégé ne tient pas la route ? Flûte.

Si, si, le business d'Apple reste bien protégé. Après pour la protection du client c'est un détail.

avatar Adodane | 

Après les cryptos, c’est un jeu ... tu perds ou tu gagnes, donc on va pas verser une larme 🤷‍♀️

avatar R-APPLE-R | 

@Adodane

Je ne vois pas en quoi c’est différent de la bourse ?

avatar dodomu | 

@R-APPLE-R

La bourse reste un système contrôlé par des autorités, et sous le coup de la loi. Les crypto monnaies échappent à cette régulation et à ce contrôle, pour le meilleur et pour le pire...

avatar quetzal | 

@R-APPLE-R

Non, ce n’est pas la même chose que la bourse. La bourse gère des actifs d’entreprises qui ont une activité réelle (production de biens ou de services). Même s’il y a de la spéculation ou des produits dérivés, ce lien avec une activité économique réelle subsiste, aussi tenu soit-il. Les cryptomonnaies sont purement spéculatives jusqu’à présent.

avatar Eyquem | 

@Adodane

C’est exactement la même chose que la bourse, à ceci près que ça apporte quelque chose de nouveau tout de même.

avatar max intosh | 

@Eyquem

La bourse repose quand même sur du concret, et l’argent peut être investi directement dans la recherche et la production, etc. Je dois avoir symboliquement 5 ou 6 actions Apple depuis des années, tant mieux si ça a servi pour même une infime fraction à développer l’appareil avec lequel j’écris ce com.

avatar Mageekmomo | 

@Eyquem

Ça n'a rien à voir avec la bourse qui est régulée, avec des acteurs identifiés, des recours, plus de transparence. Même si c'est loin d'être parfait, le situation de ce monsieur serait impossible en bourse.

avatar Sgt. Pepper | 

Je veux bien croire que se faire voler 850.000€ cela fout les boules.

Mais de là, à se déresponsabiliser sur le dos d’un tiers , cela me dépasse 🙄

Quand on rentre sa clef qui vaut 850k€, le minimum est de vérifier tout une dizaine de fois.

On paye toujours pour apprendre 😩

avatar kelkun | 

@Sgt. Pepper

J’osais pas écrire ça mais tu l’as fait pour moi! Merci 😂

C’est un peu comme si un mec dans la rue te demande ta CB, tu lui donnes. Puis il te demande le code secret, tu lui donnes.
Ah zut y’a plus de sous sur mon compte c’est ballot 😂🤷🏻‍♂️

avatar marenostrum | 

tu peux pas vider le compte avec une CB. sont limités la plupart.

avatar kelkun | 

@marenostrum

Oui, bah déjà qu’on ne le ferait pas sur une carte bridée par la banque, alors on devrait encore moins le faire sur un truc qui donne un accès complet 😅

avatar bibi81 | 

tu peux pas vider le compte avec une CB. sont limités la plupart.

Ce n'est vrai que si tu as plus d'argent sur ton compte que le plafond de ta carte...

Et en fonction des cartes tu peux même en plus de le vider, le mettre dans le rouge...

avatar r e m y | 

Certes.. mais quand on voit le nombre de "bitcoin wallet" présents sur l'AppStore, comment savoir lesquelles sont sûres et lesquelles sont des arnaques destinées à vider vos comptes en bitcoins???

avatar Krysten2001 | 

@r e m y

En se renseignant non ?

avatar r e m y | 

L'AppStore n'est pas un bon endroit pour se renseigner???
Cette app était l'une de mieux notées de l'AppStore ...

Si j'en prends une autre comme Trust;Wallet
https://apps.apple.com/fr/app/trust-wallet-bitcoin-crypto/id1288339409
Est-elle sûre? Est-ce que je peux lui confier toutes mes clés privées comme elle le propose? Ou est-ce que c'est d'autres arnaqueurs qui vont utiliser les clés pour vider mes comptes?
Comment je peux savoir?

avatar marenostrum | 

ça facilite la tache des pirates à mon avis. il suffit de rentrer dans App Store. les gens lui font confiance. tellement coute maintenant un seul bitcoin que même le plus honnête des développeurs aurait tenté le coup de pirater lui-même ses clients.

avatar Krysten2001 | 

@r e m y

Vous m’aviez très bien comprit. Je parlais plutôt du fait qu’on se renseigne sur internet avant de mettre des sommes pareilles.

Et quel app était la mieux noté ?

Toutes les réponses à vos questions sont sur internet 😉 On se renseigne avant de faire quelque chose.

avatar r e m y | 

Ben non je n'ai pas compris et je n'ai toujours pas de réponse à ma question...
Cette app se présentait comme un gestionnaire de portefeuilles de bitcoin, tout comme trust:wallet que j'indique dans mon message précédent. C'était l'une des mieux notées de l'AppStore selon le Washington post avec des milliers de commentaires positifs (tout comme Trust:wallet).

Donc comment savoir que Trust:wallet est fiable et que je peux lui confier les clés privées de mes différents porte-feuilles de bitcoin (ou autres cryptomonnaies) et que ce n'est pas à nouveau une arnaque pour récupérer ces clés et vider les comptes ?

Une recherche internet ne donne rien de plus que ce qui figure sur l'AppStore car ça ne renvoie qu'au site de Trustwallet où on trouve des avis similaires à ceux de l'AppStore.

avatar Ielvin | 

@r e m y

Trust pilot pour les avis ?

Ne donner qu’un compte et pas tous ?

Mes potes utilisent crypto- Coinbase - jaxx liberty et tetha (je crois que c’est ça pour le dernier).

Après ils minent, donc ils récupèrent la prod. C’est pas comme si ils faisaient du trading.

Par la je veux dire que tu as :
- wallet pur et dur de stockage.
- wallet + trading.

avatar Ielvin | 

@r e m y

Y’a pas que l App Store.

Le mieux reste l’app du site de trading sur lequel tu as acheté tes crypto.

Le prix étant le même reste juste à choisir le bon site de trading ayant pignon sur rue.
Coinbase (mais ça merde un peu avec la vérification d’ID la). Crypto , jaxx liberty etc ..

Les trucs obscurs /trop flashy moyen moyen.

Le mieux reste d’avoir l’ordi ou l’appareil dédié à ça.

Le mec s’est fait avoir tant pis. Mais se lancer la dedans sans un très très gros minimum de renseignements avant et une mûre réflexion ensuite c’est de la folie.

Reste à espérer que le mec avait acheté des btc pas cher et qu’il a juste perdu son investissement de base.

A sa place j’aurai vendu une partie quand même.. on ne sait jamais quand ça va descendre. (Vous me direz que si vous avez acheté le btc à 500€ et que maintenant qu’il soit à 40 ou 50k c’est pas une grosse différence, certes. Ça reste une très jolie plusvalue à sécuriser en banque/matelas etc

avatar kelkun | 

@r e m y

Je ne connais pas Trezor mais je pense que la clé est fournie avec un QR code pour télécharger l’app. Ou un e-mail avec le lien. Rien que ça c’est plutôt fiable. Sinon pour les wallet classiques en ligne ils proposent souvent les liens App Store et Android directement depuis leur site officiel. C’est généralement une bonne chose pour tomber pile sur la bonne app.

Ce sont des petites choses qui améliorent déjà énormément la sécurité ☺️

avatar Vyggo | 

@Sgt. Pepper

« Mais de là, à se déresponsabiliser sur le dos d’un tiers , cela me dépasse 🙄 »

Quel manque de prise de recul / hauteur

avatar faya | 

Mouais un mec avec autant de bitcoins,
qui ne ce méfie pas et qui va chopé une app qui je présume est mal noté avec un nombre infimes de téléchargement,
qui plus est ne ce renseigne pas au près du constructeur ou auprès des copains, copines.
Que voulez vous, je pense que nous avons trouvé le concon du jour

avatar r e m y | 

Selon l'article du Washington post, l'app était très bien notée (presque 5 étoiles).

avatar fte | 

@faya

"Que voulez vous, je pense que nous avons trouvé le concon du jour"

Blâmer la victime. C’est sa faute.

Quel commentaire misérable et méprisable.

Tu dis la même chose pour les victimes de viol ?

avatar powerpomme | 

C’est un peu comme les cons (il n’y a pas d’autres mots) qui enchérissent sur eBay à plus de 1 000 € sur des PHOTOS de cartes graphiques (denrées rares en ce moment) alors que c’est justement spécifié qu’il ne s’agit que d’une photo !

avatar kafy28 | 

Moi je ne comprends toujours pas à quoi servent les cryptomonnaie, à part soustraire des revenus d’impôts aux états et faire en pire (spéculation sur la valeur d’une monnaie) que ce qui existe avec les monnaies des états.
Qu’est-ce qui donne une valeur à une crypto monnaie à part sa demande sur le marché des cryptomonnaies basé sur la spéculation.
Quand à l’empreinte écologique du minage ... catastrophique.

avatar marenostrum | 

la monnaie classique se dévalorise vite. pour garder la somme intacte (pour eux qui ont beaucoup d'argent) il faut jouer en bourse. en achetant des bitcoins ont fait la même chose que la bourse. sa valeur ne fait que monter en plus, il est beaucoup plus sûr (parce que on peut pas le produire en grand nombres) que les valeurs boursières et ça rapporte beaucoup plus.

avatar fte | 

@kafy28

"Qu’est-ce qui donne une valeur à une crypto monnaie à part sa demande sur le marché des cryptomonnaies basé sur la spéculation. "

Comment crois-tu que les monnaies nationales tiennent leur valeur ? Les montagnes d’or, c’est terminé depuis Bretton Wood basiquement.

avatar Celeri | 

J'aime bien les gens qui s'aventurent dans les cryptomonnaies parce qu'elles sont libertaires par essence et non soumise aux contrôles des autorités, mais qui viennent ensuite pleurer pour qu'on les défende quand cette trop grande liberté leur explose à la figure.

C'est clair que c'est ballot cette histoire, mais ça s'arrête là. Faut assumer quand on se lance volontairement dans un far west sans prendre de précautions.

avatar iftwst | 

@Celeri

Exactement.

avatar FlodeLibourne | 

Les cryptomonnaies montent parce qu’elles sont tendances et représentent une belle option pour des transactions sans contrôle. Si une entreprise se prend un virus de type cryptolocker, la rançon sera souvent demandée en bitcoin ou équivalent.

Le coté hors de contrôle ne durera pas. Tôt ou tard, il va y avoir un vol massif qui servira de déclencheur à une remise sous contrôle.

avatar pariscanal | 

Je laisse mes ethreums sur maison du bitcoin pour l instant mais je sais pas ce qu il adviendrait en cas d usurpation

CONNEXION UTILISATEUR