Certaines servent exclusivement à espionner, d’autres à se faire de l’argent: la firme de cybersécurité Defensive Lab Agency nous explique tout.
Elsa Gambin
Vols de données personnelles, publicités intempestives, rançons… Tout est possible: semblable à l’appli originale, la version falsifiée est une pilleuse sournoise et bien réalisée. Rencontre avec Esther Onfroy, cofondatrice de la firme de cybersécurité Defensive Lab Agency qui lutte contre cette nouvelle cybercriminalité.
Korii: Bonjour Defensive Lab Agency. Qui êtes-vous et quel est votre boulot?
Esther Onfroy: Defensive Lab Agency est une entreprise spécialisée en cybersécurité, principalement concernant celle des téléphones portables. Une des cofondatrices a précédemment créé Exodus Privacy et est spécialiste des questions de vie privée sur les mobiles.
Comment en êtes-vous venues à vous pencher sur les contrefaçons d’applications?
En 2018, l’Electronic Frontier Foundation (EFF) et Look Out (entreprise américaine de cybersécurité) ont révélé une attaque de grande ampleur, Dark Caracal, en place depuis six ans et qui ciblait des journalistes, des militaires, des PDG, des personnalités politiques…
Les contrefaçons d’applications sont aujourd’hui présentes partout.
Via ingénierie sociale, on faisait installer à ces personnes une fausse version de Signal ou Orbot par exemple, des applis utilisées par des personnes soucieuses de sécuriser leurs échanges ou leur navigation.
L’application fonctionnait exactement comme l’officielle, sauf qu’un morceau de code rajouté avait pour but de collecter les SMS, fichiers, contacts, historiques, etc. Depuis deux ans, Defensive Lab Agency travaille donc sur cette problématique des contrefaçons, uniquement sur Android.
De quelle manière?
Nous venons de lancer un site public où les projets open source et les entreprises peuvent rajouter leur application, pour que, de notre côté, nous puissions scruter sur internet afin de vérifier s’il existe ou non des contrefaçons. Nous les prévenons ensuite de leur existence.
Pour des entreprises, ce phénomène peut engendrer un manque à gagner non négligeable ainsi qu’une perte de crédibilité et de confiance si des données ou des fichiers que les usagers et usagères estimaient en sécurité chez eux se retrouvent entre de mauvaises mains…
Oui, alors que les contrefaçons d’applications sont aujourd’hui présentes partout. C’est un peu l’équivalent, à l’époque, des logiciels dits «craqués». On ne voulait pas mettre la main au portefeuille, acheter une licence Windows par exemple, et donc des personnes craquaient le logiciel pour que d’autres puissent le télécharger.
Or, dans certains d’entre eux se trouvaient des virus, des chevaux de Troie, des malwares, etc. Forcément, cela a fini par arriver dans le domaine de l’application mobile.
Où et sous quelle forme ces «fausses» applications se présentent-elles?
Elles vont se trouver partout: sur Google Play comme sur d’autres stores. L’argument principal va être, pour les applications payantes, la gratuité de l’appli contrefaite.
Si vous voulez utiliser un service de musique en ligne très connu, il existe des contrefaçons gratuites où les publicités sonores ont été remplacées par des pubs textuelles et, évidemment, une collecte de données conséquente.
Mais cette pratique existe aussi pour des applications gratuites. Nous en avons trouvé beaucoup pour VLC ou Silence par exemple (servant normalement à chiffrer ses SMS).
Il faut se méfier d’emblée des applis avec beaucoup de commentaires négatifs, mais aussi des applis très récentes avec un grand nombre de téléchargements.
Quels sont les signes qui peuvent alerter?
Qui a intérêt à créer ses applis?
Des cybercriminels qui vont vouloir collecter un maximum de données. Adresses mail, carnets de contacts, données de santé, numéros de cartes bancaires… Des personnes travaillant dans le cyberespionnage aussi.
Ou bien encore des groupes d’utilisateurs et utilisatrices qui ne veulent pas payer un service et vont acheter une fois l’appli puis la recréer à l’identique en la mettant en accès libre.
Il faut bien avoir conscience que pour l’individu qui se sert d’une appli de ce genre, l’utilisation est exactement la même qu’avec celle d’origine. C’est indétectable à l’oeil nu.
Il faut se méfier d’emblée de celles avec beaucoup de commentaires négatifs, mais aussi de celles qui sont très récentes et avec un grand nombre de téléchargements. Attendez donc un peu que des personnes expertes en cybersécurité aient pu les vérifier. Et privilégiez Google Play plutôt qu’un obscur forum.
Que faites-vous quand vous trouvez des contrefaçons?
Nous prévenons Google, qui réagit assez vite et supprime l’application du Store, ainsi que les entreprises concernées.
Certaines sont faites exclusivement pour espionner. D’autres pour faire de l’argent en bloquant les fonctionnalités de votre téléphone, et il faudra alors payer une rançon pour débloquer.
J’imagine que des gens vont se dire: «En quoi c’est gênant? L’appli originale elle aussi me pique des données!»
Tout ça va dépendre de l’objectif premier de la contrefaçon. Certaines sont faites exclusivement pour espionner. D’autres pour faire de l’argent en bloquant les fonctionnalités de votre téléphone, et il faudra alors payer une rançon pour débloquer. Ce sont des ramsomwares.
Les applications officielles prennent des données, oui, mais elles restent encadrées par la loi. Les contrefaites comportant du code malveillant, c’est purement de la cybercriminalité