Vous vous inquiétez de télécharger une application mobile piratée ? Ou vous vous demandez comment protéger votre application mobile pour ne pas l’exposer aux hackers ?
Bien que possible, il est difficile de pirater une application mobile officielle. Les risques les plus importants sont plutôt de télécharger un clone de l’application que vous cherchez ou que votre mobile lui-même soit piraté pour accéder à vos données personnelles.
Voyons ensemble quelques pratiques malveillantes qui peuvent être opérées, d’autres rendues plus difficiles par des contrôles et des technologies sécurisées et quelques conseils pour vous préserver.
Pirater une application mobile
Déjà, qu’entendons-nous par “piratage” ? Dans le cadre de ce billet, il s’agit de prendre le contrôle d’une application mobile officielle, publiée sur un store officiel.
C’est très complexe !
Que ce soit sur n’importe quel store, il faut un compte développeur et des certificats spécifiques pour publier une application mobile. Ces derniers doivent être les mêmes pour effectuer des mises à jour. Donc pour prendre le contrôle d’une application mobile officielle il faut :
- Récupérer le code source de l’application visée
(détails plus bas) - Usurper le compte développeur de la personne ou de l’organisme qui a publié l’app d’origine, puis obtenir les certificats de l’appli (sachant que pour iOS les certificats peuvent être récupérés directement depuis le compte développeur)
- Que la personne ou l’organisme qui a publié l’app originale ne soit pas alerté·e par les mails reçus concernant la mise-à-jour de son app (sauf si le·a hacker·euse modifie l’adresse mail du compte).
Cela fait beaucoup d’étapes et de comptes sécurisés auxquels accéder, ce qui peut décourager les hacker·euse·s. En effet, si le ratio complexité de piratage / valeur des données à récupérer est peu intéressant, les chances que votre application soit visée sont plus faibles.
Par contre il existe d’autres moyens que le piratage pour altérer une application ou récupérer des données. Voici deux exemples.
Interférer les échanges client/serveur ou directement le serveur
À défaut de prendre le contrôle d’une application, il est possible d’intervenir sur les données qui transitent par elle.
Si les contenus web d’une app sont récupérés en HTTP, il est possible d’interférer les échanges client/serveur. Dans ce cas les hacker·euse·s peuvent par exemple utiliser la technique du “Man in the middle” qui consiste à écouter ces échanges pour les espionner, récupérer des données ou les altérer. Si ces contenus sont en HTTPS, cette technique est toujours possible mais beaucoup plus compliquée. D’ailleurs, Apple exige que tous les contenus des apps iOS soient en HTTPS depuis le 1er janvier 2017.
Il est également possible de passer directement par le serveur en le piratant pour récupérer les données utilisateurs, envoyer du faux contenu, rendre l’application inutilisable, etc.
Notre conseil est donc évident pour les développeurs d’applications : privilégiez le HTTPS et sécurisez votre serveur !
La duplication ou le clonage d’application mobile
Dans la majeur partie des cas, c’est la solution la plus utilisée car elle est plus simple à réaliser.
Pour faire du clonage, il existe deux possibilités :
- À partir de la décompilation d’un .apk.
- Pour Android : il est possible de décompiler une application mobile, c’est à dire récupérer le fichier contenant son code source et l’ouvrir pour l’exploiter. Dans le jargon informatique, on appelle ce fichier un “apk”. Pour y intégrer du code malicieux, il faut avoir de bonnes bases en informatiques.
- Pour iOS : c’est également possible mais beaucoup plus compliqué. Dans ce cas, les hacker·euse·s récupèrent le code source de l’application visée et la re-publie sous un nom quasi-similaire (il est impossible de reprendre exactement le même nom que l’app officielle) et avec les mêmes contenus de présentation (icônes, screenshot, description, etc.).
- Tout re-coder soi-même depuis le début.
C’est ce qui est arrivé à l’application Flappy Bird. Suite à son succès, de nombreux clones ont fleuri pour profiter de sa popularité, générer des gains publicitaires, implanter des logiciels malveillants, etc.
Nos conseils
Nos conseils pour ne pas télécharger une app clonée :
- Vérifiez le nom de l’éditeur et de l’application mobile ;
- Évitez les stores alternatifs ;
- Ne pas jailbreaker votre iOS.
Vous pensez avoir téléchargé une app clonée ? Le mieux que vous puissiez faire :
- Entrez dans les paramètres pour effacer toutes les données de l’appli et la désinstaller au plus vite ;
- Prévenez Android ou Apple afin qu’ils retirent l’application clone de leur store et l’éditeur de l’app officielle.
Nos conseils pour ne pas se faire cloner son application :
- Vous pouvez rendre plus difficile la décompilation de votre appli Android. Demandez à ce que votre prestataire le fasse ;
- Protégez votre app et vos contenus avec un copyright ;
- Si vous trouvez un clone de votre application, contactez rapidement Android ou Apple afin qu’ils retirent le clone de leur store.
Pour creuser le sujet : OWASP