Ouvrir le menu principal

iGeneration

Recherche

Les certificats d'entreprise exploités par des plateformes d'apps piratées

Stéphane Moussie

mardi 19 février 2019 à 17:30 • 11

App Store

Semaine après semaine, on en apprend des vertes et des pas mûres sur les certificats d’entreprise distribués par Apple. Alors que ces certificats sont uniquement destinés à distribuer des applications iOS au sein d’une entreprise, ils ont été détournés par Facebook et Google pour mettre à disposition de personnes extérieures des apps d’analyse d’usage et par d’autres éditeurs pour distribuer des apps qui n’ont pas droit de cité dans l’App Store (apps porno et de paris d’argent, notamment).

Mais ce n’est pas tout. Les certificats d’entreprise sont également détournés par des personnes peu scrupuleuses pour publier des versions piratées d’applications populaires, qui s'installent ainsi simplement et sans jailbreak. Reuters indique que des plateformes comme TutuApp, Panda Helper, AppValley ou TweakBox distribuent par exemple gratuitement Minecraft, qui coûte normalement 7,99 €, ainsi qu’une version gratuite de Spotify expurgée de pubs.

Le phénomène n’est pas nouveau, mais il revient dans l’actualité à la suite des autres abus autour des certificats ainsi que des mesures prises récemment par plusieurs éditeurs, dont Apple, pour lutter contre ce marché clandestin. Car les plateformes ne se contentent pas de distribuer des applications piratées, elles en font le commerce.

Certaines applications originales ne voient pas leurs pubs supprimées, au contraire, les malandrins en ajoutent à celles qui n’en ont pas pour mieux vendre derrière un service « VIP » payant comprenant des apps piratées sans pub et plus complètes.

L’éditeur Creaceed est une des victimes de ce type de magouille, comme il nous le raconte :

Fin 2017 nous avons vu remonter des crash reports étranges, qui montraient un crash d’une ancienne version de notre app Hydra dans un framework que nous n’avions pas mis nous-mêmes. Après recherche, nous avons vu qu’il s’agissait de bannières de pub (Hydra n’a jamais eu ça, aucune de nos apps d’ailleurs). On a croisé avec les données de l’analytics et vu que plus de 5 000 instances de cette app étaient utilisées. On a remonté la chaîne et vu que TutuApp était responsable, et qu’ils offraient un abonnement unique à 13 $ par an qui donnait accès à un catalogue d’apps populaires trafiquées (ajout de bannière de pub par injection d’un framework et re-signées) en illimité, les développeurs ne touchant rien et n’ayant pas donné leur autorisation.

Spotify a récemment écrit noir sur blanc dans ses conditions générales que bloquer la publicité de son offre gratuite était interdit et pouvait conduire à la fermeture du compte utilisateur. Rovio et Niantic, les créateurs respectifs d’Angry Birds et Pokémon GO, ont confirmé à Reuters faire la chasse aux utilisateurs pirates.

« Les développeurs [peuvent] mettre du code de détection pour vérifier que l’app n’a pas été hackée, nous indique Creaceed, mais c’est difficile de contrôler si ça marche, et puis c’est une escalade constante avec les hackers qui finalement n’est pas très porteuse par rapport à bosser sur des vraies features. »

Pour empêcher la distribution d’apps frauduleuses, Apple révoque de son côté les certificats utilisés à mauvais escient, mais de nouveaux sont ensuite exploités dans la foulée par les malandrins. L’identification à deux facteurs obligatoire pour les développeurs à partir de la semaine prochaine s’inscrirait dans la lutte contre le piratage.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Tentant d’éviter les taxes, Sonos mise sur le mauvais cheval

03/04/2025 à 22:30

• 22


Racheter TikTok, un cadeau empoisonné ?

03/04/2025 à 21:20

• 5


Test d'une prison pour smartphone, pour ceux qui n'arrivent pas à abandonner leur iPhone

03/04/2025 à 20:30

• 6


Orange Téléphone donne maintenant le nom du spammeur qui vous appelle

03/04/2025 à 20:15

• 19


Tim Cook encaisse 24,19 millions de dollars d’actions restreintes

03/04/2025 à 20:00

• 16


La Switch 2 est déjà disponible en précommande chez certains revendeurs, avec des promos

03/04/2025 à 19:42

• 59


RED et SFR augmentent à leur tour les frais de résiliation de leurs box Internet

03/04/2025 à 18:15

• 4


Pages, Numbers et Keynote passent à Apple Intelligence

03/04/2025 à 17:45

• 17


L'Arcep observe une inflation des appels indésirables et abusifs chez les abonnés

03/04/2025 à 17:30

• 41


Guerre commerciale : le cours de l’action Apple en compote

03/04/2025 à 17:00

• 104


Promo Fnac : 100 € en cagnotte pour un MacBook Air M4 ou iPhone 16 Pro et 50 € pour les autres 🆕

03/04/2025 à 16:27

• 1


Les droits de douane décrétés par Donald Trump pourraient frapper Apple et ses clients tous azimuts

03/04/2025 à 15:35

• 54


Apple appelle Samsung à l’aide pour l’OLED de l’iPad mini

03/04/2025 à 14:45

• 12


Guerre commerciale : l’Union européenne prête à taxer Apple, Google et les services numériques américains

03/04/2025 à 14:00

• 162


Avec Thundermail, Mozilla veut répondre à Gmail, Proton Mail et les autres

03/04/2025 à 13:15

• 12


macOS Sequoia : le panneau de Mise à jour a été revu en surface

03/04/2025 à 12:15

• 3