Algérie 1

Icon Collap
...

Dans l'ombre de l'App Store : le marché noir des applications mobiles

14-08-2017 18:04  Médias

ENQUÊTE - Installer des applications piratées ou interdites sur un iPhone est bien plus facile que ce que prétend Apple.

On le pense plus rare sur smartphone, mais le piratage existe et ne cesse de se simplifier. Dès la sortie de l'iPhone en 2007, des hackers tentaient déjà de «débrider l'appareil» en permettant l'installation de contenus non autorisés par Apple. À cette époque, il n'y avait pas d'App Store, il fallait passer par cette phase dite de «jailbreak» (évasion de prison) pour installer du contenu tiers ou des jeux sur son appareil. Année après année, cette méthode est devenue de plus en plus populaire, s'attirant les foudres d'Apple qui ne cessait de combler chaque faille à travers des mises à jour. Dix ans plus tard, le jailbreak est en voie de disparition. Les méthodes se font de plus en plus rares, Apple surveille l'apparition de nouvelles failles en rémunérant les hackers, et la communauté originelle semble découragée. Le débridage de son appareil ne suscite plus autant d'engouement qu'il y a un certain temps. 

Pourtant, dans l'ombre de l'App Store, télécharger une application piratée ou interdite par Apple n'a jamais été aussi facile. Des millions d'utilisateurs ont installé des versions parallèles du magasin d'applications, proposant souvent du contenu illégal ou permettant l'ajout de contenus interdits. 

Applications piratées ou interdites

Un abonnement premium à Spotify et Deezer, gratuitement. Tout le contenu d'un jeu payant, gratuitement. Des versions améliorées des réseaux sociaux comme Snapchat++ ou Instagram++, gratuitement. Pour inciter les utilisateurs à télécharger leur application, les développeurs de ces stores pirates mettent majoritairement en avant un contenu . Contrairement au jailbreak qui incitait à améliorer son smartphone, ce nouveau type de débridage s'adresse à une communauté plus jeune prête à tout pour économiser de l'argent et ne réalisant pas forcément que pirater met à mal une économie et vole le travail de développeurs. Ces «Dark App Store» deviennent un véritable phénomène de société et intéressent des utilisateurs novices. 

Des YouTubers ont fait de ces stores pirates un des sujets récurrents de leurs vidéos. C'est le cas de iRomain dont la vidéo dédiée à l'installation de faux Spotify et Deezer représente un record sur sa chaîne YouTube. En relation avec les développeurs de Tutu-App depuis un an et demi, le plus populaire de ces stores pirates, le YouTuber est devenu un spécialiste de ce marché parallèle, et présente les différents contenus proposés. Selon lui, il n'y a pas de risques pour ceux qui téléchargent ces boutiques d'applications. La multitude de publicités présentes dans les catalogues permet aux plateformes de gagner leur vie sans avoir à vendre les données de leurs utilisateurs. Toutes les applications contrefaites par Tutu-Appaffichent des messages publicitaires supplémentaires à tout moment, un rythme insistant qui permet à la boutique de gagner de l'argent sur un service . «Ils ne sont pas là pour collecter les données, ils veulent juste de l'argent», assure Romain. 

«Ce serait très compliqué pour quelqu'un de se laisser piéger et de télécharger ça.»

Apple

La boutique d'applications <i>Tutu</i> se présente comme l'App Store et propose du contenu piraté ou modifié.

Si Tutu-App domine ce marché noir, des dizaines de stores parallèles ont vu le jour ces dernières années. Parmi eux, Tweak Box revendique 7 millions d'utilisateurs. De son côté, Tutu-App ne communique aucun chiffre mais le nombre de téléchargements d'une application comme Spotify++ laisse imaginer l'ampleur du phénomène. La version piratée du service de streaming aurait été téléchargée plus de 250 millions de fois selon la plateforme, des chiffres surréalistes dont la crédibilité ne peut être vérifiée. La plateforme Tutu-App est également disponible sur Android où l'installation de contenu tiers est plus facile.

Si le contenu de ces magasins est illégal puisqu'il s'agit souvent de contenu piraté, d'autres stores parallèles tiennent à respecter la loi. Le Buildstore, premier magasin parallèle à avoir vu le jour en 2013, ne propose que du contenu inédit ne correspondant pas aux critères pour apparaître sur l'App Store d'Apple. Ses concepteurs refusent l'apparition de tout contenu volé ou piraté. «Notre principale différence est le fair-play, nous essayons d'être aussi justes que possible. Premièrement, nous testons toutes les applications avant de les rendre disponibles. Ensuite, nous revérifions pour s'assurer qu'aucun virus ne se cache dans les applications proposées», explique un représentant du Buildstore. «Un des principaux buts du Buildstore est d'aider les développeurs indépendants à distribuer leurs créations.» Le magasin parallèle légal insiste sur l'absence de publicités dans les applications qu'il propose. Le service se rémunère sur la base d'un abonnement annuel et réunit à ce jour plus de 100.000 abonnés. 

Un risque sous-estimé

Contrairement au jailbreak qui laissait à l'utilisateur le plein contrôle de son téléphone, les nouvelles méthodes de débridage s'avèrent beaucoup plus vicieuses dans leur fonctionnement. Pour pouvoir s'installer, elles utilisent des certificats «entreprise», une méthode tout à fait légale. Ces certificats permettent aux entreprises déployant une flotte de terminaux de garder le contrôle sur les appareils en obtenant un droit de regard, ou la possibilité d'installer des applications internes. C'est ce fonctionnement que reprennent ces App Store parallèles. En ajoutant un certificat sur son smartphone, l'utilisateur donne à une «entreprise», généralement située en Asie, le droit d'installer du contenu sur son téléphone, en l'occurrence des stores pirates. Une fois acceptée, l'application s'ajoute sur l'écran d'accueil de l'appareil et fonctionne comme si elle avait été installée par la voie conventionnelle. Elle peut à son tour ajouter de nouveaux certificats «entreprise» associés à chaque nouvelle application ajoutée. 

Le faux Store se cache derrière le nom d'une fausse entreprise pour s'installer.

Problème auquel ne pense pas forcément l'utilisateur: se fier à un certificat entreprise permet à l'émetteur d'accéder à de nombreux contenus de l'appareil. Si aucun cas d'abus concret n'a été prouvé à ce jour, le concepteur d'une boutique parallèle pourrait très bien accéder au journal d'appel ou aux messages d'un utilisateur, sans avoir à lui demander sa permission. Pire, il pourrait même émettre l'envoi d'un SMS vers un numéro surtaxé dans le dos de son utilisateur. Évidemment, les développeurs de ces boutiques ne préviennent pas leurs utilisateurs, souvent mineurs, des droits qu'ils récupèrent lors de l'installation d'un profil. Dans ses conditions générales, Tutu-App promet de ne jamais vendre aucune donnée issue de son application, et de ne les collecter qu'à des fins statistiques pour améliorer le service. Le service légal BuildStore, qui nécessite lui aussi la création d'un profil pour être installé, précise avoir choisi de ne pas avoir accès aux appareils.

Nous avons contacté Apple pour parler de la sécurité du système d'exploitation des iPhone et iPad à la suite de l'installation de ce type de contenus. «iOS contient des barrières qui alertent l'utilisateur de ce qu'il se passe et explique les conséquences de l'installation d'applications venant de sources non vérifiées ou non fiables. Ce serait très compliqué pour quelqu'un de se laisser piéger et de télécharger ça», a affirmé l'entreprise. Lors de l'installation d'un magasin tiers, le système d'exploitation des iPhone et iPad alerte en effet sur le «possible accès aux données» accordées à ce type de programmes. 

Pour contrer ce phénomène, Apple et les développeurs d'applications piratées mènent une guerre sans relâche contre ces plateformes compromettant l'économie des applications, et mettant en danger les données de leurs utilisateurs. Régulièrement, le fabricant des iPhone annule les certificats entreprise de ces stores pirates, bloquant l'installation de nouvelles applications. Il ne faut généralement que très peu de temps aux plateformes avant de changer de certificat et être de nouveau opérationnelles. De leur côté, les magasins légaux comme le BuildStore ne sont pas embêtés par Apple. Dans un circuit toujours plus vicieux, les stores pirates proposent des versions «VIP» de leurs applications, moyennant un abonnement annuel d'environ une dizaine d'euros. Ces versions sans pub s'installent sans certificat et empêchent Apple de bloquer leur utilisation. Les stores parallèles ont trouvé là un moyen de monétiser du contenu piraté, ce qui est évidemment illégal. (Le Figaro.fr)



Voir tous les articles de la catégorie "Tech & Net"