![Apple a finalement retiré la fausse application Microsoft Authenticator de l'App Store [U]](https://www.netcost-security.fr/wp-content/uploads/2023/06/1687439410_Apple-a-finalement-retire-la-fausse-application-Microsoft-Authenticator-de-758x397.jpg "Apple a finalement retiré la fausse application Microsoft Authenticator de l'App Store 1")
Mise à jour quatre mois plus tard : Une fausse application Microsoft Authenticator a en quelque sorte survécu à l’abattage, mais a été… finalement supprimée en juin …
Mise à jour : Apple a maintenant retiré la plupart des applications d’authentification frauduleuses de l’App Store – voir la fin de l’article.
La dernière bêtise de Twitter a entraîné une avalanche d’applications d’authentification frauduleuses, dont au moins une utilise la publicité de l’App Store pour figurer en bonne place dans les résultats de recherche – et envoie ensuite tous les codes QR scannés au service d’analyse du développeur.
Il y a toute une série d’autres applications qui semblent gratuites mais qui nécessitent des achats in-app pour scanner les codes QR…
Twitter stimule l’intérêt pour les authentificateurs
La semaine dernière, Twitter a eu la brillante idée de vendre la sécurité des comptes comme un service payant, en plaçant l’authentification à deux facteurs (2FA) basée sur les SMs derrière le mur payant Twitter Blue.
À partir du 20 mars, Twitter commencera à exiger Twitter Blue pour l’utilisation de l’authentification à deux facteurs par SMs. Le changement, officiellement annoncé aujourd’hui, est certainement une étape importante. Twitter affirme qu’il désactivera simplement l’authentification à deux facteurs pour toute personne qui utilise encore des clés SMs et qui ne paie pas pour Blue à partir de la date butoir du 20 mars.
Pas de prix pour deviner qui a eu cette idée.
Il faut admettre que le 2FA par SMs est horrible, car il laisse tous tes comptes sécurisés vulnérables aux attaques de type SIM-swap. Si Twitter abandonnait simplement la prise en charge de ce service et demandait à tout le monde d’utiliser une application d’authentification, ce serait une chose. Au lieu de cela, Twitter donne l’impression que le SMs est une option premium en la faisant payer.
Applications d’authentification frauduleuses
Cela a créé l’occasion parfaite pour les applications d’authentification frauduleuses de séparer les non-techniciens de leur argent – ou même de leurs comptes.
Le développeur et chercheur en sécurité Mysk rapidement repéré tout un tas d’applis à la ressemblance suspecte, qui exigent toutes l’achat d’un abonnement in-app pour pouvoir scanner les codes QR.
L’art intemporel des authentificateurs ! Toutes ces applis d’authentificateurs sont gratuites et proposent des achats in-app. Tu les installes pour découvrir que tu ne peux scanner aucun code QR tant que tu ne t’es pas abonné, 40$/an avec 3 jours d’essai gratuit. Les applications sont très similaires.
Il a rapidement pu en trouver une douzaine (image ci-dessus), et s’est demandé pourquoi elles n’étaient pas repérées dans les revues d’applis.
L’App Store devrait faire quelque chose à propos de ces applications. Il semble qu’il existe une application en marque blanche que les escrocs achètent, renomment et déploient sur l’App Store. @AppStore. N’importe quel utilisateur lambda peut repérer les similitudes frappantes qui existent entre eux. Comment se fait-il que l’équipe d’App Test ne l’ait pas remarqué ?
Au moins l’une d’entre elles essaie de te forcer à t’abonner même si tu appuies sur la case de fermeture.
Laisse-moi te montrer quelque chose d’intéressant. Cette application a été publiée le 19/02/2023 et se classe 5 pour « authenticator app » dans l’App Store américain. Comme tu peux le voir dans la vidéo, une fois que tu as tapé sur « X » pour fermer le paywall, tu seras déclenché dans la confirmation de l’abonnement. pic.twitter.com/JI7XBcAy1s
– Kevin Archer (@IM_Kevin_Archer) 21 février 2023
Une application d’arnaque même capture tes codes QR. Tu n’as pas besoin de chercher très fort pour le trouver : Le développeur a retiré une publicité de l’App Store, ce qui indique qu’elle est bien visible lorsque tu cherches des applications d’authentification.
Tu dois faire attention lorsque tu cherches une application d’authentification. Cette application envoie les codes QR scannés au service #Google analytics du développeur. Tu ne le manqueras pas. Elle fait l’objet d’une campagne publicitaire sur l’#AppStore.
Applications d’authentification sécurisée
Sur iOS, tu peux désormais utiliser la prise en charge intégrée de 2FA. Sinon, Google Authenticator est le choix par défaut, et Mysk dit qu’il n’a trouvé aucune raison de ne pas l’utiliser.
Nous avons récemment détaillé comment l’utiliser pour Twitter.
Apple a maintenant supprimé les applications frauduleuses
Mysk rapporte qu’Apple a maintenant supprimé les applis signalées par l’entreprise.
Détente, découvrez l’évolution du nombre de smartphones vendus par marque au fil du temps dans la vidéo ci-dessous :
