La réputation d’Apple en matière de sécurité est encore une fois remise en question. En effet, des applications qui se présentaient comme des outils de suivi de l’activité physique ont utilisé le capteur d’empreintes digitales Touch ID pour voler de l’argent à des utilisateurs d’iOS.

D’après des chercheurs de l’entreprise technologique ESET, le mécanisme de paiement s’activait lorsque les victimes scannaient leur empreinte digitale en utilisant ces applications.

Jusqu’à présent disponibles dans l’App Store, les fausses applications Fitness Balance App et Calories Tracker App sont apparues dans des vidéos postées par plusieurs utilisateurs du site Reddit. La similarité des interfaces et des fonctionnalités de ces applications mène à penser qu’elles ont été créées par le même développeur.

Comment ces applications ont-elles réussi à tromper leurs utilisateurs ?

Le caractère malveillant des applications n’était pas évident. L’application Fitness Balance avait reçu en moyenne 4,3 étoiles et 18 avis positifs, probablement faux. C’est une technique connue pour être utilisée par des arnaqueurs.

L’escroquerie commence lorsqu’un utilisateur ouvre l’application. Elle lui demande de scanner son empreinte digitale pour lui permettre de consulter un suivi personnalisé de sa dépense calorique et des recommandations diététiques. Une fois que l’utilisateur a placé son doigt sur le capteur, une fenêtre contextuelle apparaît indiquant un paiement de 119,99 $, qui est ensuite vérifié par le compte Apple de la victime et envoyé directement à l’arnaqueur.

Les victimes ont signalé ces applications à Apple qui a le mérite de les avoir rapidement retirées de l’App Store. Lorsque certains utilisateurs ont essayé de contacter le développeur de l’application Fitness Balance, ils ont reçu un message leur promettant que les « problèmes » signalés seraient résolus dans la prochaine version.

Comment s’assurer que les applications que l’on télécharge sur l’App Store sont sans risque ?

Les applications disponibles dans l’App Store respectent des directives strictes et sont testées par l’entreprise avant d’être publiées. Elles sont mises dans un environnement de test appelé sandbox afin de les rendre plus sûres. Cependant, les utilisateurs doivent se fier aux mesures propres à Apple, car aucun produit de sécurité n’est disponible sur l’App Store.

Pas de panique : en général, l’App Store est connu pour être relativement sécurisé. Cependant, il n’est pas à l’abri d’une faille. En 2015, la société de sécurité chinoise Qihoo360 Technology a déclaré avoir découvert un total de 344 applications affectées par un programme malveillant appelé XcodeGhost. Récemment, des applications ne respectant pas la vie privée de ses utilisateurs ont été découvertes par des chercheurs en sécurité.

L’ESET conseille aux utilisateurs de toujours lire les commentaires car « Les commentaires positifs étant faciles à simuler, les critiques négatives sont plus susceptibles de révéler le vrai visage d’une application. »

L’entreprise conseille également aux utilisateurs d’iPhone X d’activer une fonction supplémentaire appelée « Double-clic pour payer » qui leur impose de double-cliquer sur le bouton latéral de leur smartphone pour valider un paiement.