La sécurité de logiciels analysés sous toutes les coutures avant leur mise en ligne, garantie par des «Review Guidelines» strictes: c'est, explique Apple, l'une des raisons pour lesquelles elle prélève une part du lion de 15 à 30% sur les transactions réalisées dans son App Store.
Phillipe Christodoulou, dont le Washington Post raconte l'histoire, n'avait donc aucune raison de se méfier. Souhaitant vérifier la quantité de bitcoins qu'il détenait sur son «hard wallet» de marque Trezor, un dispositif matériel permettant de conserver des cryptos en sécurité, il s'est rendu sur l'App Store pour trouver l'application correspondante.
Logo officiel, descriptif complet, notes positives approchant les cinq étoiles et, surtout, cette sécurité vantée par Apple dans le fond de son esprit: tout ceci ne pouvait a priori qu'être normal, et le téléchargement a été effectué sans question.
Phillipe Christodoulou aurait pourtant dû rester sur ses gardes. Car une fois lancée, et après avoir entré ses identifiants, l'application en question n'a mis qu'une poignée de secondes pour vider l'intégralité du portefeuille de l'imprudent.
L'homme s'est ainsi fait délester de 18,1 bitcoins, représentant à l'époque des faits 600.000 dollars (512.000 euros) –les économies de toute une vie, témoigne-t-il auprès du quotidien américain.
Confiance trahie
Christodoulou est donc en colère, et on le comprend. Il est en colère contre les brigands, mais plus encore contre Apple. «Ils ont trahi toute la confiance que j'avais en eux. Ils ne méritent pas de se sortir sans problème de cette histoire», dit-il.
Ce type de piraterie –du phishing en l'occurrence– est plutôt attendu du côté du Play Store de Google, aux règles beaucoup moins contraignantes, et dont les applications ne sont pas décortiquées d'aussi près que celles recevant l'imprimatur d'Apple.
Les experts sont pourtant formels: il est plutôt facile pour des criminels rodés de contourner les règles mises en place par la firme de Cupertino et publier sur son App Store l'outil illégal qui fera leur fortune, et la misère de ceux qui auront le malheur de lui faire –légitimement– confiance.
La méthode la plus simple consiste à soumettre à Apple une application initialement inoffensive, qui passera donc sans encombre sous les fourches caudines de l'entreprise, avant de la transformer discrètement en un outil criminel.
Ce fut le cas de la fausse app Trezor: elle s'est d'abord présentée comme un logiciel de chiffrement basique avant de muter, profitant du fait qu'Apple compte sur les utilisateurs des logiciels pour lui signaler, a posteriori, tout changement délictueux de ce type.
Mais pour Christodoulou comme pour d'autres, l'application de phishing ayant été téléchargée un millier de fois sur l'App Store (et autant sur le Play Store), «a posteriori» signifie «beaucoup trop tard»: une petite fortune s'est envolée et ne sera jamais récupérée.
