Ouvrir le menu principal

iGeneration

Recherche

Les certificats d'entreprise exploités par des plateformes d'apps piratées

Stéphane Moussie

mardi 19 février 2019 à 17:30 • 11

App Store

Semaine après semaine, on en apprend des vertes et des pas mûres sur les certificats d’entreprise distribués par Apple. Alors que ces certificats sont uniquement destinés à distribuer des applications iOS au sein d’une entreprise, ils ont été détournés par Facebook et Google pour mettre à disposition de personnes extérieures des apps d’analyse d’usage et par d’autres éditeurs pour distribuer des apps qui n’ont pas droit de cité dans l’App Store (apps porno et de paris d’argent, notamment).

Mais ce n’est pas tout. Les certificats d’entreprise sont également détournés par des personnes peu scrupuleuses pour publier des versions piratées d’applications populaires, qui s'installent ainsi simplement et sans jailbreak. Reuters indique que des plateformes comme TutuApp, Panda Helper, AppValley ou TweakBox distribuent par exemple gratuitement Minecraft, qui coûte normalement 7,99 €, ainsi qu’une version gratuite de Spotify expurgée de pubs.

Le phénomène n’est pas nouveau, mais il revient dans l’actualité à la suite des autres abus autour des certificats ainsi que des mesures prises récemment par plusieurs éditeurs, dont Apple, pour lutter contre ce marché clandestin. Car les plateformes ne se contentent pas de distribuer des applications piratées, elles en font le commerce.

Certaines applications originales ne voient pas leurs pubs supprimées, au contraire, les malandrins en ajoutent à celles qui n’en ont pas pour mieux vendre derrière un service « VIP » payant comprenant des apps piratées sans pub et plus complètes.

L’éditeur Creaceed est une des victimes de ce type de magouille, comme il nous le raconte :

Fin 2017 nous avons vu remonter des crash reports étranges, qui montraient un crash d’une ancienne version de notre app Hydra dans un framework que nous n’avions pas mis nous-mêmes. Après recherche, nous avons vu qu’il s’agissait de bannières de pub (Hydra n’a jamais eu ça, aucune de nos apps d’ailleurs). On a croisé avec les données de l’analytics et vu que plus de 5 000 instances de cette app étaient utilisées. On a remonté la chaîne et vu que TutuApp était responsable, et qu’ils offraient un abonnement unique à 13 $ par an qui donnait accès à un catalogue d’apps populaires trafiquées (ajout de bannière de pub par injection d’un framework et re-signées) en illimité, les développeurs ne touchant rien et n’ayant pas donné leur autorisation.

Spotify a récemment écrit noir sur blanc dans ses conditions générales que bloquer la publicité de son offre gratuite était interdit et pouvait conduire à la fermeture du compte utilisateur. Rovio et Niantic, les créateurs respectifs d’Angry Birds et Pokémon GO, ont confirmé à Reuters faire la chasse aux utilisateurs pirates.

« Les développeurs [peuvent] mettre du code de détection pour vérifier que l’app n’a pas été hackée, nous indique Creaceed, mais c’est difficile de contrôler si ça marche, et puis c’est une escalade constante avec les hackers qui finalement n’est pas très porteuse par rapport à bosser sur des vraies features. »

Pour empêcher la distribution d’apps frauduleuses, Apple révoque de son côté les certificats utilisés à mauvais escient, mais de nouveaux sont ensuite exploités dans la foulée par les malandrins. L’identification à deux facteurs obligatoire pour les développeurs à partir de la semaine prochaine s’inscrirait dans la lutte contre le piratage.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Promos : iPhone 13 256 Go à 579 €, l'iPhone 16e à 660 € et l'iPhone 16 à 800 €

19:35

• 4


Émulation : comment jouer à ses vieux jeux sur iPhone ou iPad ?

10:00

• 9


Pour le producteur de La Maison, « Apple est la pire boîte marketing de l’univers »

25/04/2025 à 22:15

• 81


Apple TV+ : USS Greyhound aura une suite en 2027

25/04/2025 à 21:30

• 9


Nest fait du ménage dans sa gamme, et abandonne le marché européen des thermostats connectés

25/04/2025 à 21:00

• 58


Upscaling vidéo et restauration photo plus rapides sur Mac/PC : VideoProc AI mis à jour est à - 62 % 📍

25/04/2025 à 18:13

• 0


dav1d, le décodeur AV1 le plus optimisé qu'Apple refuse d'utiliser

25/04/2025 à 17:47

• 5


Govee présente des arbustes lumineux connectés avec Matter

25/04/2025 à 15:45

• 13


Eufy présente un robot-aspirateur avec un nettoyeur amovible compatible Matter

25/04/2025 à 14:45

• 19


Microsoft a conçu une publicité par IA et personne n’a rien vu

25/04/2025 à 13:45

• 31


Comment Apple résume (mal) les commentaires de l’App Store

25/04/2025 à 11:45

• 23


Tous les iPhone 17 pourraient passer à 12 Go de RAM

25/04/2025 à 11:00

• 48


Apple voudrait rapidement produire en Inde 100% des iPhone américains

25/04/2025 à 08:05

• 23


iPadOS 19 verrait apparaître une barre de menus sur iPad

24/04/2025 à 23:05

• 48


Huit ans après DeX, Apple s’ouvrirait peu à peu à un bureau sur écran externe pour iOS 19

24/04/2025 à 23:00

• 52


L’iPhone 16 dans une nouvelle réclame mettant en avant sa solidité

24/04/2025 à 21:00

• 21