Mot-clé - Phishing

Fil des billets

dimanche 17 janvier 2010

Premières applications mobiles frauduleuses : obligation de régulation par les AppStores ?

Et voilà, il fallait s'y attendre. Tout nouveau service qui suscite l'engouement est confronté, un jour ou l'autre, à des premiers obstacles, au premier chef la contrefaçon, les détournements, ou encore des versions vérolées.

Dans le domaine des applications mobiles, vendues sur les AppStores avec le succès que l'on sait (voir par exemple ici), on pourrait bien voir surgir, un jour, des applis érotiques (voire plus) 'pour adultes'...

Appli Android de fishing

En attendant, cette semaine, le premier cas d'appli mobile délibérément destinée à un usage frauduleux est apparu... Il rappelle fortement les cas de mails de fishing diffusés par e-mails (sous forme de spams), qui visaient à récupérer les données bancaires d'internautes distraits. L'application mobile publiée par Droid09, proposait aux utilisateurs de se connecter à leurs comptes de la banque américaine Credit Union pour les gérer à distance, depuis leur téléphone portable.

Cette application était frauduleuse, et récupérait les données des utilisateurs pour le compte d'un tiers. Les identifiants et mots de passe de connexion étaient donc volés, et ce dans le but de se connecter aux comptes, comme dans les affaires de fishing. L'affaire a été révélée par l'entreprise de sécurité informatique Sophos.

Mais du coup, une autre question sous-jacente surgit : quid de la responsabilité des éditeurs d'applis mobiles dans ce genre d'affaires ? Les propriétaires d'AppStores (Apple, Google dans le cas de l'Android Market...) , ne sont-ils pas censés trier sur le volet leurs futures applis, et les valider avant leur lancement . Or ici, cette application, qui était proposée sur l'Android Market, a été approuvée par ses administrateurs... Avant d'être retirée, une fois la fraude constatée.

En clair, les propriétaires de "magasins" applications mobiles en ligne seront-ils être garants de leur fiabilité ? Il y avait déjà eu un précédent, avec le ver Rick Ikee qui circulait sur des iPhones déverrouillés, utilisant donc des applis non-vérifiées par Apple (un point pour Apple, donc).

Propriétaire d'AppStore = régulateur ? Le cas des 'fausses' applis iPhone NY Times

Et c'est sur cela que risquent de pêcher les téléphones sous Android : autant Apple est très regardant sur les nombreuses applications proposées par des développeurs sur l'AppleStore (le processus de validation peut prendre jusqu'à 1 mois), autant le processus de validation des applis est connu pour être extrêmement léger du côté de l'Android Market. A moins que Google ne prêche l'auto-régulation, et laisse la responsabilité à ses utilisateurs de choisir à bon escient (autant que possible ;) dans une jungle d'applis peu triées... Ce qui risque de le discréditer.

nytimes_iphone.jpg

Source image

Mais Apple n'est pas forcément prêt à enrôler systématiquement ce rôle de super-régulateur, notamment face à des "fausses" applis mobiles qui surgissent. Comme signalé sur le blog Mediamemo, cette autre affaire pourrait faire du bruit : face à deux applications iPhone du New York Times qui pourraient s'avérer être des fakes (ou en tous cas des versions non-officielles), Apple "ne veut pas savoir". Concrètement, on trouve actuellement sur l'iTunes Store l'application iPhone officielle du NY Times (gratuite et bien pratique), ainsi que... deux différentes applis iPhone pour le NY Times, “New York Times Mobile Reader", proposées pour 0,99 cents chacune. Actuellementl e service juridique du quotidien planche sur le problème, signalant qu'AUCUNE des deux applis n'est autorisée.