Les amateurs de cryptomonnaie doivent redoubler de méfiance au moment de confier leurs précieux bitcoins et autre ethereums à des applications mobiles. L'App Store et le Play Store font figure de far-west pour les malandrins qui savent parfaitement exploiter les failles des boutiques d'apps. Le Washington Post relate la malheureuse expérience de Phillipe Christodoulou, qui s'est fait siphonner 17,1 bitcoins — plus de 850 000 € — en voulant consulter son compte dans une app parasite.

Cette application se disait l'émanation de Trezor, un constructeur de portefeuille « matériel » de cryptos, qui prend la forme d'un adaptateur USB. Celle-ci contient les informations de connexion au compte ; pour accéder au compte présent dans le portefeuille, il faut brancher la clé sur l'ordinateur, saisir un mot de passe et parfois une phrase d'identification. En cas de perte du module, une phrase « seed » (mnémonique) permet de restaurer ces informations.

Les forbans tentent de soutirer cette phrase seed, ce qui leur permet de se connecter au compte et de piquer toutes les cryptos du portefeuille. C'est exactement le mode opératoire de cette application, et c'est de cette manière que le pauvre Christodoulou s'est fait avoir. Et malheureusement, il n'existe pas de recours… sauf à s'en prendre directement aux plateformes d'apps. Apple vante régulièrement un « endroit sûr et fiable » pour découvrir et télécharger des applications, mais le constructeur ne peut pas faire grand chose dans certains cas.

En ce qui concerne le cas de cette app parasite, elle s'est présentée au mois de janvier sous la forme d'un gestionnaire de mots de passe. Puis ses fonctionnalités ont changé pour devenir un siphon à cryptomonnaies, à l'insu d'Apple qui n'autorise pas du tout ces tours de passe-passe. L'App Store ne peut compter que sur les signalements des utilisateurs pour supprimer une telle app de ses rayons.

Trezor a signalé la présence de l'app parasite à Apple et à Google. Un processus « douloureux » selon une porte-parole de l'entreprise qui ne compte aucune app mobile à son actif (même si elle en développe une actuellement). Apple a néanmoins réagi rapidement en supprimant l'application deux jours plus tard. Mais peu de temps après, elle était de retour dans l'App Store…

Un représentant d'Apple explique que l'App Store n'autorise pas les applications qui « induisent les utilisateurs en erreur, en usurpant l'identité d'autres applications, développeurs ou entreprises ». Il assure qu'Apple prend « les mesures appropriées » quand elle découvre qu'une app enfreint les règles. Même message du côté de Google, avec un Play Store qui a vu une éclosion d'apps « inspirées » de Trezor (huit, selon App Figures).

Si Apple interdit les apps permettant de miner des cryptos, les applications de type wallet sont autorisées sous conditions. Cette histoire intervient à un moment critique pour l'App Store, attaqué de toutes parts par les régulateurs et certains développeurs (lire : L'App Store toujours engorgé d'applications parasites, Apple répond). L'argument de la sécurité et de la sûreté revient beaucoup dans la bouche d'Apple, mais ces exemples mettent à mal le beau discours.