Reuters a suivi la piste d'applications iOS illicitement modifiées et largement distribuées. Elle mène à un constat assez déplaisant pour Apple : il est très aisé d'abuser de ses certificats pour faire valider une installation illicite sur iPhone/iPad.
Lorsqu'un iPhone télécharge une application, la légitimité de celle-ci est vérifiée de façon assez simple. Ou bien l'application dispose d'un certificat valide, ou bien ce certificat est absent. Dans le premier cas, l'installation peut être exécutée ; dans le second, elle est refusée. Naturellement, tout ce qui est admis sur l'App Store est pourvu d'un certificat d'Apple, mais il existe d'autres sources, et notamment des boutiques d'applications alternatives. Les entreprises ont aussi parfois besoin de diffuser parmi leurs collaborateurs des applications spécifiques qui n'ont pas leur place sur l'App Store. Pour ce faire, Apple met à disposition un programme de certification dédié (Apple Developer Enterprise Program) afin qu'elles puissent être installées.
En principe, ce mécanisme assure la sécurité de l'écosystème en permettant à Apple de contrôler ce qui arrive sur ses iPhone et iPad. Sauf qu'en l'espace de quelques jours, TechCrunch et l'agence Reuters ont tous deux pointé du doigt de sérieuses lacunes.
Le premier a d'abord découvert que des applications permettant de jouer de l'argent bien réel et de nature pornographique (interdites par Apple) étaient distribuées grâce à l'abus de certificats destinés aux entreprises. Et en se penchant sur le programme en question, le média a fait un constat des plus embarrassants pour Cupertino : il suffit de remplir un formulaire basique et de régler l'abonnement (299 $/an) pour ouvrir un compte en tant qu'entreprise. Bien sûr, Apple se réserve le droit de bloquer d'éventuels contrevenants à ses conditions. Mais, par définition, cela signifie qu'il doit d'abord les repérer… Sans parler du fait qu'il est tout aussi aisé d'ouvrir un nouveau compte juste après un bannissement.
Reuters, pour sa part, a suivi la piste d'applications altérées, mais largement distribuées, dont des moutures de Spotify, Angry Birds, Pokémon GO et Minecraft. Dans tous les cas, les applications étaient modifiées pour bloquer la publicité et/ou mettre à disposition tous les achats in-app gratuitement. Ladite piste a permis de remonter à plusieurs stores alternatifs (TutuApp, Panda Helper, AppValley, TweakBox) avec un point commun : l'utilisation de certificats pour entreprises afin d'assurer l'installation sans accroc des applications. En poussant un peu plus loin, Reuters a pu confirmer que ces plateformes, qui gagnent de l'argent grâce à un accès payant, ont essentiellement recours à des certificats émis au nom d'entreprises tout à fait légitimes et ayant parfois pignon sur rue, comme par exemple China Mobile.
D'après ses dires, l'agence de presse a d'emblée fait remonter le problème à Apple, qui a immédiatement banni les intéressés. Il n'a toutefois fallu que quelques jours pour que les pirates soient de nouveau opérationnels avec des applications dotées de certificats flambant neufs. Pour éviter l'usurpation de comptes, Apple prévoit d'imposer l'authentification à deux facteurs au sein de son programme entreprise d'ici la fin du mois. La firme n'a rien annoncé concernant l'inscription audit programme, mais on peut imaginer qu'elle va se pencher sur son examen plus que léger lors de l'ouverture des comptes.
Les éditeurs des applications concernées ne restent par ailleurs pas les bras croisés. Comme nous le signalions tout récemment, Spotify a entamé une chasse aux bloqueurs de publicité, n'hésitant pas à suspendre les comptes des utilisateurs “indélicats”. Niantic, également, tâche de faire le ménage : les joueurs qui sont pris à tricher sur Pokémon GO grâce à des applications contrefaites sont tout simplement bannis.
Lire la suite : iOS : des applis piratées distribuées grâce à des certificats Apple
iOS : des applis piratées distribuées grâce à des certificats Apple
