Conçus pour simplifier la vie des entreprises, les certificats d’entreprises sont en train de compliquer celle d’Apple. Ce type de certificats électroniques [qui régit les données que l’on accepte d’échanger avec le développeur d’une application, NDLR] permet aux sociétés de déployer des applications de recherche ou de test en dehors de toute supervision d’Apple. Ces applications sont destinées à être utilisées seulement par des employés en interne. Autrement dit, ces certificats permettent à un utilisateur d’installer une application sur un iPhone sans besoin de passer par la validation d’Apple.
Début février, Apple avait révoqué les certificats de Facebook et de Google après avoir découvert que les deux géants contournaient cette règle. Ainsi, Facebook avait distribué via ce type de certificats une application à un échantillon d’utilisateurs, qui avaient accepté contre rémunération que toutes leurs données de navigation soient exploitées. L’affaire avait fait grand bruit et posé beaucoup de problèmes aux employés de Facebook, avant qu’Apple ne rétablisse l’accès.
Applications pirates
Mais d’autres services malveillants détournent ce programme de certificats de leur usage premier pour proposer en toute illégalité l’installation des applications populaires «modifiées». Selon une enquête de Reuters, plusieurs éditeurs piratent utilisent frauduleusement des certificats obtenus au nom de sociétés légitimes. L’agence n’explique pas comment ils sont parvenus à les récupérer.
Par exemple, la plateforme AppValley propose une version de Spotify sans publicité, ce qui normalement n’est permis que par la version premium de l’application. Une autre, TuTu App, propose une version gratuite du jeu Minecraft qui coûte normalement 7,99 euros dans l’App Store. Pokémon Go ou AngryBirds sont d’autres exemples d’applications ainsi «crackées», permettant à leurs utilisateurs d’obtenir le meilleur de l’app sans avoir à payer les abonnements ou les micro-achats pour les jeux mobiles. «Les distributeurs gagnent de l’argent en facturant 13 dollars ou plus par an pour les abonnements à ce qu’ils appellent des versions «VIP» de leurs services (…) Il est impossible de savoir combien d’utilisateurs achètent de tels abonnements, mais les distributeurs pirates combinés ont plus de 600.000 abonnés sur Twitter», estime Reuters. Le site américain Techcrunch avait déjà révélé en début de semaine l’utilisation frauduleuse de certificats permettant la distribution d’application pornographique ou de jeux d’argents, catégories interdites par Apple.
Manque à gagner
Contacté par Reuters, Apple a révoqué tous les certificats utilisés. Mais ces applications sont réapparues sous un certificat d’entreprise différent quelques jours après seulement, explique l’agence de presse. «Les développeurs qui abusent de nos certificats d’entreprise contreviennent au contrat du programme d’entreprise pour développeurs d’Apple et verront leurs certificats révoqués. Le cas échéant, ils seront bannis de notre programme pour développeurs», a déclaré un porte-parole d’Apple à Reuters. «Nous évaluons en permanence les cas d’abus et sommes prêts à prendre des mesures immédiates.». Apple a, par ailleurs, averti tous les développeurs que leur compte doit bénéficier de l’authentification à deux facteurs avant le 27 février. Après cette date, elle sera activée automatiquement.
Ce détournement viole non seulement les conditions générales d’utilisation de l’App Store, mais représente un manque à gagner important à la fois pour les éditeurs des applications piratées et pour Apple qui prélève une commission sur les achats effectués au sein de ces services.
Spotify et Microsoft (propriétaire de Minecraft) ont refusé de commenter. Rovio, le fabricant des jeux mobiles Angry Birds, a déclaré qu’il travaillait activement avec ses partenaires pour lutter contre les infractions «dans l’intérêt de notre communauté de joueurs et de Rovio en tant qu’entreprise.». De son côté, Niantic, éditeur de Pokémon Go, a déclaré que les joueurs qui utilisent des applications piratées permettant de tricher sur son jeu sont régulièrement bannis pour violation des conditions d’utilisation.