Les développeurs peu scrupuleux font payer très cher les applications de base. Voici comment repérer une escroquerie
Le piège: abonnement et frais cachés
Il est toujours plus sûr de télécharger des applications mobiles à partir de sites officiels comme Google Play et l'App Store iOS d'Apple, mais même dans ce cas, il y a toujours un risque que des applications malveillantes se soient introduites. Vous avez déjà entendu parler des logiciels espions, des logiciels publicitaires et des logiciels malveillants en général, mais il existe maintenant un autre type d'application douteuse dont il faut se préoccuper : les logiciels Fleeceware .
Ce type de logiciel est délicat, car il n'y a généralement rien de malveillant dans le code des applications en cause. Ils ne volent pas vos données ou n'essaient pas de s'emparer de votre appareil, ce qui signifie qu'il n'y a rien de malveillant dans le processus de vérification de Google et d'Apple. Au contraire, ces escroqueries reposent sur des applications qui fonctionnent comme annoncé mais qui sont assorties de frais d'abonnement cachés et excessifs. Une application de type Lampe de poche qui coûte 9 dollars par semaine ou une application de filtrage de photos de base qui coûte 30 dollars par mois seraient toutes deux des logiciels malveillants, car vous pouvez obtenir les mêmes types d'outils gratuitement, ou à un prix bien inférieur, à partir d'autres applications.
Sophos, la société de sécurité qui a inventé le terme "fleeceware", a trouvé 25 applications de ce type sur Google Play en janvier, qui ont totalisé plus de 600 millions de téléchargements. Début avril, les chercheurs ont mis en évidence 30 applications dans l'App Store de l'iOS qui, selon eux, entrent dans cette catégorie.
"Dans notre société capitaliste, vous pouvez regarder les applications et dire si quelqu'un veut gaspiller 500 dollars par an pour une application de type lampe de poche, c'est à lui de décider", explique John Shier, conseiller principal en sécurité chez Sophos. "Mais c'est juste le prix exorbitant qui vous est demandé, et ce n'est pas fait à la légère. Pour moi, ce n'est pas éthique".
Les programmes de logiciels malveillants apparaissent souvent dans le même genre d'applications que celles utilisées pour d'autres escroqueries et attaques sur les téléphones portables. Il s'agit généralement d'outils d'apparence bénigne comme de simples filtres et éditeurs de photos et de vidéos, des applications d'horoscope ou des outils de voyance, des lecteurs de codes QR et de codes-barres, ou des utilitaires comme des lampes de poche et des claviers personnalisés. Les chercheurs de Sophos soupçonnent également les développeurs de logiciels fleecewares d'utiliser des faux comptes pour publier des critiques cinq étoiles ou de gonfler leurs nombres de téléchargement dans Google Play afin de donner à leurs offres un aspect plus légitime.
Bien que les applications fleeceware ne saisissent pas vos données ou n'exécutent pas de fraude publicitaire à partir de votre appareil, elles bafouent souvent les normes qu'Apple et Google fixent pour déterminer quand et comment les développeurs peuvent présenter les achats et les frais d'abonnement dans l'application. Certains prétendent offrir une période d'essai, mais vous inviteront à payer la première fois que vous ouvrirez l'application. D'autres affirment qu'un abonnement ne représente qu'un montant dans la plupart de leurs applications, mais qu'il est en fait plus élevé au moment du paiement. Et les applications profitent également des utilisateurs qui ne savent pas comment annuler un abonnement pour continuer à les facturer longtemps après avoir supprimé l'application.
"Les logiciels malveillants existent depuis un certain temps déjà et utilisent différentes techniques", explique Thomas Reed, chercheur en sécurité chez Apple, qui travaille pour la société de surveillance des systèmes Malwarebytes. "L'App Store prend en charge les périodes d'essai au cours desquelles vous souscrivez un abonnement, qui est gratuit pendant un certain temps, mais qui vous est facturé si vous n'annulez pas avant la fin de la période gratuite. Il reporte les frais de carte de crédit dans l'espoir que l'utilisateur ne saura pas ce qu'ils sont plus tard".
M. Reed souligne que certaines applications d'iOS, il y a quelques années, ont trompé les utilisateurs pour qu'ils confirment quelque chose qui semblait mineur en utilisant le TouchID d'Apple, mais qu'ils ont en fait approuvé un paiement en coulisses. Depuis, Apple a interdit ce type d'appât et d'échange.
Comment se protéger des fleeceware
En dépit des règles d'Apple et de Google concernant les achats dans l'application, les développeurs de logiciels peuvent toujours inciter les gens à faire des achats via leurs comptes Apple et Google, ou même simplement recueillir les informations de leurs cartes de crédit directement sans surveillance. Les chercheurs de Sophos affirment que de nombreuses applications fleecewares, qu'ils ont vues l'automne dernier, facturaient un abonnement annuel, mais que les escrocs passent de plus en plus à des paiements mensuels ou hebdomadaires. Il s'agit probablement d'une tentative de réduire le choc, de permettre aux fraudeurs de facturer davantage au fil du temps, et d'essayer de faire en sorte que les paiements se fondent dans les autres services de streaming et les abonnements légitimes aux applications que les gens ont déjà.
Google a annoncé il y a deux semaines qu'il durcissait ses exigences. Les développeurs doivent donc préciser les détails des abonnements, des essais gratuits et des offres de lancement. Google prend également des mesures pour exiger une plus grande transparence dans la gestion et l'annulation des abonnements.
"Une partie de l'amélioration de l'expérience utilisateur des abonnements passe par la promotion d'une plateforme fiable pour les abonnés, en s'assurant qu'ils se sentent pleinement informés lorsqu'ils achètent des abonnements dans l'application", a écrit Angela Ying, responsable produit chez Google, dans un billet de blog destiné aux développeurs, à propos de ces changements. Les créateurs d'applications ont jusqu'au 16 juin pour se conformer aux nouvelles règles dans leurs applications existantes sur Google Play.
De même, les directives d'Apple à l'intention des développeurs interdisent explicitement les prix déraisonnables, les abonnements à l'appât et les escroqueries.
"Bien que la tarification soit laissée à votre discrétion, nous ne distribuerons pas d'applications et d'articles achetés dans le cadre de l'application qui sont clairement des arnaques. Nous rejetterons les applications coûteuses qui tentent de tromper les utilisateurs avec des prix irrationnellement élevés", déclare Apple dans ses notes aux développeurs. La première année, Apple et Google réduisent de 30 % les revenus d'une application, ce qui fait des entreprises des bénéficiaires involontaires de la vente de logiciels polaires.
Pour éviter les logiciels fleeceware essayez de vous fier aux applications des principaux développeurs. Gardez à l'esprit que les grandes entreprises technologiques proposent déjà la plupart des outils et utilitaires de base comme les emojis, les filtres selfie et les scanners de code QR gratuitement. Vous pouvez toujours faire une recherche rapide sur le web pour comparer les prix si vous n'êtes pas sûr de trouver quelque chose de plus spécialisé. Et si vous craignez que vos anciens abonnements soient un peu hors de contrôle, Android et iOS proposent tous deux des listes centralisées des abonnements qu'ils gèrent pour vous. Gardez cependant à l'esprit que les abonnements que vous avez créés indépendamment ne seront pas répertoriés ici.
Sur iOS, allez sur cette page ou ouvrez Paramètres, appuyez sur votre nom, puis sur Abonnements pour tout voir et gérer. Vous pouvez également ouvrir l'App Store, appuyez sur vos initiales dans le coin supérieur droit, puis sur Abonnements.
Sur Android, ouvrez le Play Store, touchez l'icône du menu Hamburger dans le coin supérieur droit et choisissez Abonnements pour afficher et gérer vos inscriptions.
Le Fleeceware est sournois, mais si tout le reste échoue, le Shier de Sophos a un autre conseil pour vous protéger. "Faites de l'arithmétique", dit-il. "Vérifiez si les fonctionnalités que vous pourriez obtenir pour un coût unique de 1,99 $ ou gratuitement coûtent maintenant plus de 500 $ par an." Si c'est ce que montre la calculatrice, c'est que quelque chose ne va pas.
Plus d'information :
Tag : applications, mobile, ios, android, abonnement, abusif, coût, mensuel, annuel, fleeceware , Apple, Google, iOS, Google Play, App Store, logiciels malveillants, partir, dollars, droit, lampe de poche, Android, filtres, crédit, expérience utilisateur, automne, billet de, appat, streaming, 16 juin, l'appât, code QR, blog, play store, icône, hamburger, arithmétique, calculatrice, Malwarebytes, fraude, Cher, logiciels espions, logiciel, code, MIS, capitaliste, éthique, genre, téléphones portables, horoscope, voyance, codes QR, codes-barres, lampes de poche, claviers, téléchargement, applications mobiles,