Arnaque : des applis iPhone scannent votre doigt et valident en douce des paiements

Certains logiciels de l’App Store ont incité les utilisateurs à utiliser le bouton Touch ID pour accéder à des données et des conseils. En réalité, ils procédaient à des paiements in-app d’une centaine d’euros.
Karlis Dambrans (Creative Commons)

Les applications frauduleuses ne sont pas uniquement l’apanage du Play Store de Google. Sur l’App Store d’Apple, on rencontre aussi parfois quelques beaux spécimens. Le chercheur en sécurité Lukas Stefanko a récemment mis le doigt sur une série d’applis de fitness baptisées « Fitness Balance » ou Calories Tracker » qui ont réussi à voler une centaine d’euros directement depuis le compte Apple de leurs victimes.

Pour y arriver, le développeur indélicat a créé une entourloupe graphique autour de la fonction Touch ID, qui permet justement de valider des paiements in-app par empreinte digitale. Une fois que l’utilisateur lance l’application, celle-ci l’incite à scanner son doigt pour soi-disant accéder au suivi de calories et obtenir des recommandations personnalisées sur le régime diététique à suivre. S’il tombe dans le panneau et qu’il pose son doigt sur le bouton Touch ID, l’application va initier une procédure de paiement in-app qui, du coup, sera automatiquement validée.

L’arnaque n’est pas très discrète, car l’utilisateur voit apparaître pendant quelques instants la fenêtre pop-up de validation de paiement. Mais le temps de se rendre compte de l’arnaque, il est déjà trop tard, comme on peut le voir dans cette vidéo sur Twitter.

Les sommes demandées varient en fonction de l’application. Le chercheur a pu observer des montants de 99,99 dollars, 119,99 dollars ou 139,99 euros. Les victimes étaient d’autant plus en confiance que ces applications étaient très bien notées dans l’App Store, avec une moyenne de 4,3 étoiles. Evidemment, cette notation résultait de fausses appréciations, une technique classique et difficile à contrôler.

A ce jour, ces applications ne peuvent plus faire de mal. Apple les a éjectés de sa boutique applicative après avoir reçu des plaintes de la part d’utilisateurs. Certains parmi eux ont d’ailleurs essayé de contacter directement le développeur pour avoir des explications. Mais celui-ci a évidemment botté en touche en disant que le problème serait résolu avec la prochaine version.

Pour éviter de se faire avoir trop facilement par ce type d’applications, Lukas Stefanko recommande de regarder de près les commentaires négatifs laissés sur l’App Store. Contrairement aux commentaires positifs qui peuvent être faussés, ils sont plus à mêmes de « révéler la véritable nature de l’appli ». Ceux qui disposent d’un iPhone X peuvent également activer la validation des paiements par double-clic sur le bouton situé sur le côté. Ce qui diminue notablement le risque.