fbpx

Les pirates abusent aussi du programme d’entreprise d’Apple pour distribuer des applications frauduleuses

Par

le

Selon un rapport, le programme de certificats d’entreprise d’Apple est utilisé pour distribuer des versions piratées d’applications populaires, contournant ainsi les directives strictes de l’App Store.

Reuters rapporte que des pirates abusent du programme d’entreprise d’Apple pour distribuer des versions piratées d’applications populaires. Des versions frauduleuses de Spotify, Pokémon Go, Minecraft et Angry Birds ont été découvertes. Elles avaient été modifiées pour bloquer les publicités in-app et rendre les fonctionnalités payantes disponibles gratuitement, privant ainsi leurs développeurs originaux, ainsi qu’Apple, de revenus.

Même si la firme de Cupertino a interdit plusieurs de ces applications après avoir été contacté par Reuters, l’agence indique qu’elles ont été sauvegardées sous différents certificats « en quelques jours ». Cette découverte suggère qu’Apple a du mal à contrôler l’accès à ses certificats d’entreprise, que les développeurs peuvent utiliser pour contourner les règles strictes de l’App Store en affirmant qu’une application est destinée à être utilisée uniquement par leurs employés.

Parmi les applications piratées, il y avait une version de Spotify qui avait été modifiée pour bloquer les publicités diffusées lorsque vous écoutez avec un abonnement gratuit. Une version gratuite de Minecraft, qui coûte normalement 6,99 € sur l’App Store, était également disponible.

En réponse au rapport de Reuters, un porte-parole d’Apple a déclaré: «Les développeurs qui abusent de nos certificats d’entreprise violent le contrat du programme d’entreprise pour développeurs Apple et verront leurs certificats résiliés et, le cas échéant, ils seront complètement supprimés de notre programme pour développeurs.» La société a également confirmé qu’elle exigerait que les développeurs ajoutent une authentification à deux facteurs à leurs comptes d’ici la fin du mois.

La découverte de ces applications intervient quelques jours à peine après la découverte de nombreuses applications pornographiques et de jeux d’argent disponibles au téléchargement pour les appareils Apple, bien qu’elles aient enfreint les règles d’Apple concernant le contenu des applications. Chacune de ces applications utilisait un certificat de développeur d’entreprise (souvent enregistré auprès d’une société entièrement distincte) pour permettre le téléchargement de ces applications sur un iPhone standard non jailbreaké.

L’enquête de TechCrunch a révélé qu’il était relativement facile d’obtenir le certificat requis pour publier de telles applications. Tout ce qu’il faut, c’est un paiement unique de 299 $ et certaines informations sur l’entreprise accessibles au public. Il a été constaté que les personnes ayant accès à ces certificats de développeur leur vendaient leur accès sur des places de marché en ligne, ce qui a entraîné l’enregistrement de plusieurs applications sur le même certificat d’entreprise.

L’abus de ces certificats a été mis au jour lorsqu’il a été révélé que Facebook les utilisait pour distribuer une application permettant de suivre l’utilisation des appareils d’ados. Une enquête a ensuite révélé que Google proposait une application similaire. Apple a riposté en révoquant temporairement les certificats des deux sociétés.

Articles recommandés