Apple a approuvé une application se faisant passer pour LastPass
Comment cela a-t-il pu passer à travers des filtres aussi stricts ?
L’équipe d’examen de l’App Store d’Apple est notoirement inconstante quant aux logiciels dont elle approuve la vente. Certaines entreprises ont dû modifier, modifier, voire supprimer totalement certaines fonctionnalités pour que leur application puisse passer à travers le processus.
Pourtant, d’une manière ou d’une autre, une fausse application LastPass a réussi à dépasser cette même équipe d’examen. Pire encore, la version frauduleuse de LastPass était disponible pendant des semaines avant d’être finalement supprimée, et seulement après avoir été remarquée par l’équipe LastPass elle-même.
« LastPass souhaite alerter nos clients d’une application frauduleuse tentant d’usurper l’identité de notre application LastPass sur l’App Store d’Apple », a écrit LastPass mercredi sur le site Internet de sa société.
La déclaration souligne que l’imposteur prétendant être l’application officielle LastPass a répertorié une personne du nom de « Parvati Patel » comme développeur, au lieu de la société mère de LastPass, LogMeIn.
« L’application tente de copier notre image de marque et notre interface utilisateur, bien qu’un examen attentif des captures d’écran publiées révèle des fautes d’orthographe et d’autres indicateurs indiquant que l’application est frauduleuse », a souligné LastPass. Plus particulièrement, la fausse application LastPass est répertoriée sous le nom de « LassPass Password Manager » – notez « Lass » à la place de « Last ».
Selon TechCrunch, l’équipe LastPass a contacté Apple pour en savoir plus sur la façon dont « LassPass » a survécu au processus d’examen généralement rigoureux de l’App Store du fabricant d’iPhone. Bien qu’Apple n’ait fourni aucune information publique à ce sujet, la société a depuis supprimé « LassPass Password Manager » de l’App Store.
On ne sait pas, du moins pour le moment, combien de personnes sont tombées dans le piège de cette arnaque, tout comme il n’est pas encore confirmé que la fausse application était une tentative de phishing, bien que ce soit la raison la plus évidente pour se faire passer pour une application de gestion de mots de passe.
Un moment ironique pour un faux pas sur l’App Store
Récemment, les politiques de distribution d’applications d’Apple ont fait la une des journaux suite à la publication par l’entreprise de nouvelles règles créées en réponse à la loi européenne sur les marchés numériques (DMA). Cette nouvelle réglementation a été instituée afin d’assouplir le contrôle d’Apple sur la manière dont les applications tierces sont distribuées sur les iPhones, permettant aux utilisateurs de télécharger des applications sur des marchés alternatifs qui ne sont pas liés par les règles de contenu de l’App Store d’Apple ou par les politiques de partage des revenus.
En réponse, Apple s’est engagé dans ce qu’un critique a qualifié de « conformité malveillante », en formulant de nouvelles politiques conformes à la DMA pour ces marchés alternatifs et les applications qui y sont distribuées, y compris des scénarios dans lesquels les développeurs paient potentiellement Apple plus que s’ils venaient de publier des applications. leurs applications via l’App Store officiel. La décision d’Apple a été fermement condamnée par les développeurs, petits et grands. Les PDG d’entreprises comme Xbox, Epic Games, Spotify et même Mark Zuckerberg de Meta ont critiqué Apple, accusant l’entreprise d’essayer de tirer profit du DMA.
Pourquoi ce soi-disant acte de « conformité malveillante » ? C’est la partie ironique. Le fabricant d’iPhone s’était opposé au DMA en premier lieu, estimant que son approche du jardin clos avec l’App Store protégeait les consommateurs des mauvais acteurs. Comme le souligne TechCrunch, Apple l’a même écrit dans son propre article sur ses nouvelles règles conformes au DMA.
« Les nouvelles options de traitement des paiements et de téléchargement d’applications sur iOS ouvrent de nouvelles voies aux logiciels malveillants, aux fraudes et aux escroqueries, aux contenus illicites et préjudiciables, ainsi qu’à d’autres menaces à la vie privée et à la sécurité », a déclaré Apple dans son blog du 25 janvier. Et pourtant, au moment où Apple a publié cette déclaration, « LassPass Password Manager » était déjà disponible en téléchargement sur l’App Store officiel, après avoir été approuvé quatre jours plus tôt.
