Applications frauduleuses : comment se protéger face à leur menace croissante ?
Les annonceurs et les développeurs d’applications utilisant des pratiques trompeuses, cela n’est pas nouveau... Mais l’escroquerie sur Touch ID (Touch ID scam) évoquée récemment par les chercheurs d’ESET constitue un tournant important. Les utilisateurs d’iOS ne sont pas les seuls à faire les frais de ces problèmes. Les utilisateurs d'Android connaissent, eux aussi, leur propre flot d'applications aux pratiques douteuses. Que faire pour se protéger contre ces méthodes frauduleuses ?
Etre conscient des limites des processus de révision de l'App Store
Les stratégies et procédures de révision des principaux App Stores interdisent l'entrée à un grand nombre d'applications malhonnêtes. Bien qu'il y ait encore plus de choses qui pourraient et devraient être faites pour améliorer ce système de révision, il est nécessaire d’établir un processus d'apprentissage continu, utilisé par tout le monde.
En raison du nombre très élevé d'applications et de mises à jour que chaque grande boutique d'applications reçoit chaque jour, une grande partie du travail nécessaire pour examiner les nouvelles soumissions est automatisé. Chaque application dispose donc probablement de fonctionnalités qui ne seront pas nécessairement revues par un humain ou testées spécifiquement. Même des fournisseurs très connus d'applications plus ou moins légitimes ont été surpris alors qu’ils essayaient d’éviter la révision de certaines fonctionnalités. Il est donc toujours important de faire sa propre investigation.
Lire les critiques
Bien que la plupart des applications frauduleuses comptent de nombreuses critiques positives, on peut souvent y trouver des signes avant-coureurs. La critique peut être formulée de manière très vague, voire, peut sembler être absurde ou présenter des motifs répétitifs (critiques reprenant les mêmes phrases ou avec des noms d'utilisateurs similaires). Il est donc intéressant de faire un nouveau classement des avis afin d’obtenir une image plus équilibrée : selon l’App Store, on peut faire le tri des commentaires et voir en premier ceux jugés « les plus utiles » ou classés « les plus critiques ».
Etre patient
Une application est-elle une arnaque ? Le meilleur moment pour en être certain est avant de la télécharger. Il vaut donc mieux attendre quelques jours, voire même plusieurs semaines, avant de télécharger de nouvelles applications et laisser les autres jouer le rôle de "cobayes". Il est donc nécessaire que vous preniez le temps de lire ce que les autres utilisateurs disent sur les fonctionnalités de l’application.
Être conscient des fonctionnalités valables
Bien qu'il soit difficile d’avoir une idée complète de ce que peut faire chaque nouvel appareil, il faut au moins connaître ses fonctionnalités. Par exemple : les applications d'empreinte digitale ne peuvent pas accéder aux données d'empreinte digitale déjà stockées, elles peuvent uniquement donner un « oui » ou un « non » qui indique si l’empreinte correspond ou non à celle enregistrée précédemment sur l’appareil. Cela signifie que les applications ne peuvent pas utiliser l’analyse de ce doigt pour donner des conseils sur les calories, de l'information nutritionnelle, la quantité d'eau à boire, ou présenter une analyse d'ascendance. (On ne peut pas obtenir d'informations valides sur tous ces éléments à partir d'une analyse du doigt, même si l'application peut accéder à ces données.)
Aussi, si un téléphone dispose de fonctionnalités telles qu'un lecteur de code QR ou une application lampe de poche, il n’est pas judicieux d'installer une application qui fait exactement la même chose, d'autant plus que, ces applications posent souvent problème. Si l’on souhaite installer une application autre que celle utilisée par ce téléphone, tel un lecteur de mails ou un navigateur Internet, il faut d’abord lire les avis de tiers, afin de voir quelles options ont obtenues de bonnes critiques et sont populaires.
Utiliser des applis de développeurs connus et de confiance
C'est toujours une bonne idée d’utiliser des applis de développeurs réputés. Si on est nouveau sur une plateforme, c’est plus facile à dire qu'à faire… Un bon conseil : commencer par une recherche approfondie afin de savoir si un développeur spécifique dispose déjà d’autres applications populaires avec de bonnes critiques et déjà disponibles en téléchargement.
Approfondir les recherches
Afin de voir si une application est trompeuse, nous pouvons avoir recours à plusieurs sources d‘informations. En effet, avez-vous vérifié si les développeurs disposaient déjà d'autres applications et si elles étaient bien cotées ? Possèdent-ils un site qui semble professionnel, avec des informations de contact ? Quels sont les résultats obtenus si on effectue une recherche sur Internet sur le nom de l'application ou du développeur suivi du mot « arnaque » ? Peut-on trouver plus d'informations sur des sources tierces concernant les tarifs d'abonnement ou les prix d'achat intégrés ? (Apple peut proposer des informations sur ce dernier dans la description de l'application.). Voilà donc quelques pistes de recherches qui vous permettront de démêler le vrai du faux.
Demander un remboursement et signaler les arnaqueurs
Si l’on a déjà téléchargé une application qui s'est révélée être une arnaque, vous pouvez demander à l'App Store ou à la banque ayant émis la carte de paiement de rembourser les frais. Si l'achat est un abonnement, la procédure sera malheureusement plus compliquée, mais le temps et les efforts investis en vaudront la peine. On peut aussi signaler des applications frauduleuses aux App Stores, ainsi qu’écrire des critiques au sujet de l’expérience vécue.
Repousser les « schémas sombres »
Beaucoup d’entre nous choisissent de ne pas acheter ou de soutenir des entreprises qui ne tiennent pas compte de la confidentialité ni de la sécurité, ou qui se comportent de manière trop prédatrice ou problématique. Mais il y a un autre domaine qu’on devrait mieux connaître, qui décrit une catégorie de comportement plus discrète.
Les « schémas sombres » (Dark patterns) décrivent la conception d’une interface utilisateur destinée à tromper intentionnellement ou à manipuler les émotions en un clic. Dans le cas de l'application Fitness Balance (Fitness Balance), l’interface tire parti du fait que le bouton Home de certains iPhones ou iPad peut servir à deux choses: le doigt repose déjà sur un capteur (d'empreinte digitale) d'une manière qui peut également être utilisée pour sélectionner une option à l'écran. Les nouvelles versions d’iPhone obligent à faire deux actions distinctes pour ces choses ; on doit retirer le doigt du capteur pendant un moment après l’analyse d'empreinte digitale, avant de pouvoir l'utiliser pour sélectionner une option.
Certains « schémas sombres » sont nettement moins évidents, car ils exploitent des attentes dont on n’est peut-être pas conscients, ou parce qu’ils nous rendent moins attentifs.
A propos d’ESET
Depuis 30 ans,ESET® développe des logiciels et des services de sécurité IT de pointe destinés aux entreprises et aux consommateurs, partout dans le monde. Avec des solutions allant de la sécurité des terminaux et des mobiles jusqu’à des solutions de chiffrement et d’authentification à deux facteurs, les produits conviviaux et hautement performants d’ESET confère aux consommateurs et aux entreprises la tranquillité d’esprit nécessaire pour pleinement tirer parti des potentiels de leurs technologies. ESET assure une protection et une surveillance discrète 24 h sur 24, mettant les solutions de protection à jour en temps réel afin de garantir la sécurité des utilisateurs et les activités des entreprises, sans la moindre interruption. Les menaces en constante évolution requièrent une société spécialisée en sécurité IT qui soit elle-même évolutive. S’appuyant sur ses divers centres R&D de par le monde, ESET est la première société de sécurité IT à avoir décroché 100 récompenses Virus Bulletin VB100 et ayant identifié, sans exception, tous les malwares en circulation et ce, sans interruption depuis 2003. Pour toute information complémentaire, consultez le site www.eset.com ou suivez-nous sur LinkedIn, Facebook et Twitter.
INFORMATION PRESSE
Vous désirez plus d’informations sur ESET ou tester un produit ? Contactez :
MGK Technologies
+352 26 18 51
Key Communications
Catherine d’Adesky / Louise Biron
+32 (0)475 48 62 68
+32 (0)2 230 40 72
catherine@keycommunications.be
louise@keycommunications.be
www.keycommunications.be
Si vous ne désirez plus recevoir de communiqués d’ESET, faites le savoir à louise@keycommunications.be