Il perd "sa fortune" de centaines de milliers de dollars en bitcoins
Ce n'est un secret pour personne, Apple n'a de cesse que de plébisciter la sûreté de son magasin d'application mobile et de ses appareils mobiles, notamment l'iPhone. Mais que se passe-t-il lorsque des applications frauduleuses et malveillantes réussissent à déjouer les contrôles de sécurité mis en place par l'App Store d'Apple ? Tout dernièrement, Phillipe Christodoulou, un adepte de bitcoin, a eu la mauvaise chance de tomber sur l'une de ces applications et s'est fait rafler ce qu'il appelle « toute ma fortune en bitcoins ». Alors, comment est-ce arrivé ? Et que dit Apple à propos des allégations portées contre son App Store ;?
En effet, le mois dernier, Phillipe Christodoulou voulait vérifier le solde de ses bitcoins. Il a donc cherché dans l'App Store de son iPhone "Trezor", le fabricant d'un petit dispositif matériel qu'il utilise pour stocker ses cryptomonnaies. Le logo du cadenas de la société est apparu sur un fond vert vif. L'application était notée près de cinq étoiles. Il l'a téléchargée et a tapé ses informations d'identification. Malheureusement, en moins d'une seconde, presque toutes ses économies, soit 17,1 bitcoins d'une valeur de 600 000 dollars à l'époque, ont disparu. L'application était fausse, conçue pour faire croire aux gens qu'il s'agissait d'une application légitime.
Ce qui semble un peu insolite dans la situation, c'est que, dans ses déclarations aux médias américains, Christodoulou a affirmé qu'il était plus en colère contre Apple que contre les voleurs eux-mêmes. Christodoulou a déclaré qu'Apple a présenté l'App Store comme un endroit sûr et fiable, où chaque application est examinée avant d'être autorisée à entrer dans la boutique. Lui, qui était autrefois un client fidèle d'Apple, a fait savoir qu'il n'admirait plus l'entreprise dorénavant. « Ils ont trahi la confiance que j'avais en eux », a-t-il déclaré dans une interview. « Apple ne mérite pas de s'en tirer comme ça ».
A-t-il le droit de s'en prendre à Apple ? En effet, sur son site Web, Apple décrit l'App Store comme « la place de marché la plus fiable au monde pour les applications », où chaque soumission est scannée et examinée, garantissant qu'elles sont sûres, sécurisées, utiles et uniques. Mais, selon les experts, il est facile pour les escrocs de contourner les règles d'Apple. Apple lui-même reconnait que : les développeurs d'applications criminels peuvent enfreindre ses règles en soumettant des applications apparemment inoffensives pour approbation, puis en les transformant en applications de phishing qui incitent les gens à donner leurs informations.
« Lorsqu'Apple le découvre, il supprime les applications et interdit les développeurs », indique la société. Cela dit, il est souvent trop tard pour les personnes qui sont tombées dans le piège. Selon les experts, les escroqueries aux cryptomonnaies sont courantes sur Android de Google et sur le Web. Mais leur présence sur l'App Store d'Apple est plus surprenante, car Apple affirme qu'elle gère le magasin et vérifie chaque application, ce qui crée un haut niveau de confiance chez les consommateurs. La commission de 15 à 30 % qu'Apple perçoit sur toutes les ventes réalisées sur l'App Store servirait à financer l'expérience client "hautement soignée".
Ni l'App Store d'Apple ni le Play Store de Google ne sont à l'abri
De toutes les escroqueries sur Internet, le vol de cryptomonnaies est l'une des plus lucratives pour les voleurs. Des millions de dollars en monnaie numérique peuvent être chapardés en une fraction de seconde. Ainsi, des vols de cryptomonnaies très médiatisés ont rapporté aux voleurs jusqu'à 530 millions de dollars, ce qui s'est produit lors du piratage de Coincheck en 2018. En 2014, Apple a interdit les portefeuilles de cryptomonnaies sur l'App Store, mais les a rétablis la même année. Il n'autorise pas les applications de minage de cryptomonnaies, et il impose des restrictions supplémentaires aux applications de portefeuilles de cryptomonnaies.
Le cas de Christodoulou ne serait pas un cas isolé, et ces actions malveillantes dureraient depuis de nombreuses années. Coinfirm, une société basée au Royaume-Uni spécialisée dans la réglementation des cryptomonnaies et qui mène des enquêtes sur les fraudes, dit avoir reçu plus de 7 000 demandes de renseignements sur des actifs cryptographiques volés depuis octobre 2019. « Les fausses applications sont monnaie courante sur le Play Store de Google et l'App Store d'Apple », a déclaré Pawel Aleksander, directeur de l'information de l'entreprise. Il y en aurait des centaines selon lui.
Coinfirm a déclaré que cinq personnes ont signalé s'être fait voler des cryptomonnaies par la fausse application Trezor sur iOS, pour des pertes totales d'une valeur de 1,6 million de dollars. Trois rapports font état de fausses applications Trezor sur Android qui ont volé un total de 600 000 dollars en cryptomonnaies. De son côté, la firme de Cupertino n'a pas voulu nommer le développeur de la fausse application Trezor ni fournir les coordonnées du développeur. Apple n'a pas voulu dire s'il transmettrait le nom aux forces de l'ordre ou s'il enquêterait davantage sur le développeur.
Apple n'a pas non plus voulu dire si ce développeur avait développé d'autres applications dans le passé ou s'il avait des liens avec d'autres comptes de développeurs sous des noms différents. Côté Android, Colin Smith, un porte-parole de Google a déclaré : « Nous n'autorisons pas les applications qui trompent les utilisateurs en usurpant l'identité d'une autre application, d'un développeur ou d'une entreprise, et lorsque nous découvrons une application qui enfreint nos règles, nous prenons les mesures appropriées ». Google a déclaré avoir connaissance de deux fausses applications Trezor apparues dans la boutique Play Store.
Il a supprimé les deux. Il n'a pas dit comment les applications Trezor se sont retrouvées dans la boutique. En outre, Google n'a pas précisé s'il avait informé les forces de l'ordre ni combien d'autres applications frauduleuses elle avait trouvées dans la boutique. Elle n'a pas précisé s'il avait enquêté sur les développeurs. Mais s'il dit n'avoir connaissance que de deux et les a supprimées aussitôt, la société d'analyse App Figures a déclaré avoir trouvé huit fausses applications Trezor qui sont apparues sur le Play Store.
Les portefeuilles matériels ajoutent une couche de sécurité
En raison des risques élevés de piratage dans l'industrie des cryptomonnaies, les détenteurs font appel à des portefeuilles matériels pour sécuriser davantage leurs avoirs. Ces portefeuilles matériels sont comme des clés USB qui stockent les informations secrètes et sensibles dont un voleur aurait besoin pour dérober les actifs numériques d'une personne. Les portefeuilles matériels se branchent sur un ordinateur via une connexion USB. En tapant un code PIN et parfois une phrase de passe supplémentaire, l'on peut accéder au portefeuille matériel et l'utiliser pour effectuer des transactions.
En cas de perte ou de destruction d'un portefeuille matériel, les informations peuvent être restaurées grâce à une "phrase de démarrage" secrète. Certaines personnes conservent la phrase de démarrage dans un coffre-fort, en espérant ne jamais avoir à l'utiliser, ou gravée sur un métal durable qui peut survivre à un incendie. Les escrocs utilisent l’hameçonnage pour inciter les gens à renoncer à leur phrase de démarrage. Trezor, basé en République tchèque et appartenant à une société appelée Satoshi Labs, est un fabricant bien connu de portefeuilles matériels.
Trezor n'a pas d'application mobile, mais, selon Google et Apple, des voleurs de cryptomonnaies en ont créé une fausse et l'ont mise en ligne sur l'App Store en janvier et sur le Play Store en décembre dernier. Ils ont ensuite incité certains clients de Trezor peu méfiants à saisir leurs phrases de démarrage. Kristyna Mazankova, porte-parole de Trezor, a déclaré que l'entreprise informe Apple et Google depuis des années de l'existence de fausses applications se faisant passer pour un produit Trezor afin d'escroquer ses clients. Trezor n'a jamais eu d'application mobile, bien que la société travaille sur une telle application.
Elle a déclaré que le processus de signalement des applications est "douloureux" et que les représentants d'Apple et de Google n'ont pas été en contact. Selon elle, Trezor a informé Apple de l'existence d'une application copiée le 1er février. Apple a supprimé l'application le 3 février, mais elle est réapparue quelques jours plus tard avant d'être à nouveau supprimée. Selon Apple, la fausse application Trezor s'est retrouvée dans la boutique d'applications par le biais d'un leurre. Elle s'appelle Trezor et utilise le logo et les couleurs de Trezor, mais elle se présente comme une application de "chiffrement" qui chiffre les fichiers de l'iPhone et stocke les mots de passe.
Lors des contrôles de sécurité pour obtenir l'approbation, le développeur de la fausse application Trezor a déclaré à l'équipe d'examen d'Apple qu'il "n'est pas impliqué dans une quelconque cryptomonnaie". Selon la société d'analyse mobile Sensor Tower, Apple a alors approuvé l'application et elle est apparue dans l'App Store le 22 janvier. Quelque temps plus tard, à l'insu d'Apple, l'application de chiffrement Trezor s'est transformée en portefeuille de cryptomonnaies. Apple n'autorise pas ce genre de changements, mais il affirme ne pas savoir quand ils se produisent.
La société a déclaré qu'elle compte sur les utilisateurs et les clients pour les signaler lorsqu'ils se produisent. Sensor Tower a déclaré que l'application Trezor était présente sur l'App Store d'Apple du 22 janvier au 3 février au moins et semble avoir été téléchargée environ 1 000 fois. L'application aurait été téléchargée environ 1 000 fois sur Android également, mais Sensor Tower n'a pas recueilli de données sur le moment exact où elle est devenue disponible.
Apple et Google peuvent-ils être tenus responsables de ces fraudes ?
James Fajcz, un ingénieur en fiabilité dans une société de papier basé à Savannah, en Géorgie, s'est également fait voler ses cryptomonnaies par la fausse application Trezor. En décembre, alors qu'il voyait les prix des jetons numériques augmenter, il a acheté pour environ 14 000 dollars d'ethers et de bitcoins sur les plateformes Coinbase et Binance avec l'argent de ses économies. Selon ses dires, il voulait s'assurer que son investissement était sécurisé. Il a donc acheté un portefeuille matériel Trezor "Model T" et téléchargé une application sur son iPhone appelée Trezor, qui lui a demandé sa phrase de démarrage.
L'application ne s'est pas connectée à son porte-monnaie Trezor, et il s'est dit qu'elle ne fonctionnait pas. Quelques semaines plus tard, il a acheté plus d'Ethereum sur Coinbase. Il a branché son appareil Trezor, mais il n'y avait rien. Il s'est rendu sur le forum d'assistance Trezor sur Reddit pour obtenir des réponses. Un poster Reddit l'a informé qu'il n'y a pas d'application Trezor. « Ma mâchoire est tombée sur le sol. Mon cœur s'est effondré », a-t-il dit. « J'ai réalisé ce que j'avais fait ». Fajcz a dit qu'il a appelé la ligne d'assistance d'Apple et a rapporté qu'un représentant de l'entreprise a déclaré qu'elle n'était pas responsable.
« Il s'agissait d'une application de confiance sur l'App Store qui prétendait être le meilleur et le plus fiable des magasins d'applications sur n'importe quel système, où que ce soit », a-t-il dit. « Et cette application malveillante se retrouve sur la plateforme ? Je pense qu'Apple devrait être tenu partiellement ou totalement responsable de cela ». De son côté, Christodoulou a déclaré avoir appelé le service clientèle d'Apple et un représentant lui a dit qu'il allait transmettre le problème à un superviseur. Il a ajouté qu'il avait également prévenu Apple et déposé un rapport auprès du FBI.
Chainalysis, une entreprise d'analyse, a examiné les documents fournis par Fajcz et Christodoulou et a confirmé que leurs actifs numériques avaient été déplacés de leurs portefeuilles vers un compte suspect. « Les deux vols semblent liés », a déclaré Madeleine Kennedy, une porte-parole de Chainalysis. « Il y a des preuves qu'il s'agit d'une escroquerie substantielle rapportant des centaines de milliers de dollars », a-t-elle déclaré. Seul l'un des 18,1 bitcoins de Christodoulou a été épargné, car il l'a transféré sur un service d'épargne en bitcoins appelé BlockFi.
Au moment du vol, ses 17,1 bitcoins volés valaient 600 000 dollars, mais leur valeur est rapidement passée à 1 million de dollars. Christodoulou a déclaré aux médias qu'il prend des médicaments et voit un psychiatre. « Cela m'a brisé. Je ne m'en suis toujours pas remis », a-t-il déclaré.
Et vous ?
Quel est votre avis sur le sujet ?
Avez-vous connaissance de fausses applications sur l'App Store ou le Play Store ? Si oui, lesquelles ?
Apple et Google sont-ils responsables d'une manière ou d'une autre de ces escroqueries ? Pourquoi ?
Voir aussi
Le bitcoin pourrait soit devenir la devise préférée pour le commerce international, soit faire face à une "implosion spéculative", selon Citi
Un expert canadien en bitcoin réussit à arnaquer un escroc et donne l'argent à une organisation caritative
Le bitcoin pourrait consommer autant d'énergie électrique que l'ensemble des centres de données dans le monde, avec une empreinte carbone équivalente à celle de Londres
Des mots de passe perdus privent des millionnaires du bitcoin de leur fortune, environ 140 milliards de dollars en bitcoins seraient dans des portefeuilles perdus ou bloqués
Le bitcoin franchit la barre des 60 000 dollars pour la première fois de son histoire, doublant sa valeur en moins de trois mois