App Store : plus d’un million d’apps supprimées par la « ligne de défense essentielle » d’Apple

Face à Epic, Apple dévoile les chiffres de la sécurité de ses apps

 

En pleine bataille juridique avec Epic Games, Apple dévoile pour la première fois les chiffres de son App Store et les mesures de sécurité qui rendent sa boutique « plus sûre et fiable ». En 2020, plus d’un million d’apps ont ainsi été supprimées, 475 000 comptes développeurs résiliés et plus de 1,5 milliard de dollars de transactions potentiellement frauduleuses évitées. À bon entendeur…

Au cœur du procès entre Apple et Epic Games, l’App Store livre un peu de ses secrets. Mais pas trop tout de même. Ce mardi, la marque à la pomme a pour la première fois distillé une longue série de chiffres sur sa boutique d’applications pour notamment vanter les mérites de sa politique antifraude, que ce soit dans l’examen des applications soumises, les évaluations et notes, la création de comptes ou encore les tentatives de paiement frauduleux.

Une première qui tombe à pic pour Apple qui veut ainsi valoriser le travail fourni pour assurer « la sécurité et la confidentialité » de ses utilisateurs sur l’App Store. Et ce, face aux nombreuses voix, à commencer par Epic, qui demandent un assouplissement et une ouverture à la concurrence.

48 000 apps éjectées pour des fonctions cachées dont Fortnite

Dans un long communiqué, Apple a détaillé les différents éléments qui rendent son App Store « sûr et fiable ». Et tout cela commence par la détection et la prise de mesure contre les développeurs et les utilisateurs frauduleux qui ont recours à des subterfuges de plus en plus évolués au fil du temps.

Pour cela, l’entreprise californienne s’en remet notamment à pas moins de 500 personnes chargées de vérifier les différentes applications soumises et/ou leurs mises à jour, si elles répondent aux règles de sécurité et de confidentialité de l’App Store, si les données récupérées sont conformes aux besoins véritables pour fonctionner.

« Une ligne défense essentielle », comme Apple nomme cette équipe de vérification qui mêle curation humaine, intelligence artificielle et machine learning dans ses outils pour passer en revue des milliers d’apps chaque jour. Et de rappeler que des experts en cybersécurité ont salué les efforts fournis pour faire de l’App Store un endroit sécurisé pour charger des applications.

En 2020, près d’un million de nouvelles apps et autant de mises à jour d’apps existantes ont été supprimées ou rejetées pour des violations flagrantes « susceptibles de nuire aux utilisateurs ou de léser leur expérience ». Un chiffre toujours supérieur aux 180 000 premières applications lancées dans le même temps sur l’App Store.

Pour plus de 215 000 d’entre elles, il s’agissait surtout de standards imposés par Apple non respectés, quand 150 000 se sont avérés être des copies, du spam ou tout simplement trompeuses, et 48 000 ont été éjectées de l’App Store pour des fonctions malveillantes cachées. Ce fut notamment le cas d’une application de casino cachée derrière un jeu pour enfants. Mais aussi de Fortnite

Cette technique du « Bait & Switch » est devenue courante sur les stores et oblige les responsables à encore plus de vigilance. Il s’agit de soumettre une app à la validation pour en changer drastiquement le fonctionnement par la suite, souvent à des fins malveillantes. Une lutte de longue haleine pour les responsables de l’App Store qui ont supprimé ainsi près de 95 000 applications en 2020 après avoir constaté un tel fonctionnement. Une fois prévenus de leur expulsion prochaine, les développeurs ont quinze jours pour revoir leur copie et régler les points litigieux.

Le procédé concerne généralement des applications anodines qui, une fois la validation obtenue, deviennent des applications de jeu en argent réel, de pornographie, qui permettent d’acheter illégalement des médicaments, récompense des utilisateurs pour la diffusion de contenus illicites…

Notes et avis : l’autre système de fraude dans le viseur

Quand on parle de fraude, il y a le comportement des développeurs pour faire fructifier leur application et, de manière indirecte, tenter de gagner de l’argent en orientant vers un autre outil de paiement, récupérant des données personnelles d’utilisateurs pour mieux les vendre ou bien de manière volontairement malveillante. Mais pour faire ça dans une forme de légalité, il y a aussi le fait de compter sur les évaluations et avis favorables pour attirer des utilisateurs. Cela aussi, ça se trafique.

Apple a mis en place un outil pour lutter contre les avis déposés par des bots et qui suivent souvent la même mécanique. Il faut dire que l’an dernier, plus d’un milliard d’évaluations ont été soumises et plus de 100 millions d’avis ont dû être passés en revue. Au final, 250 millions d’entre eux ont été retirés pour non-respect des règles de modération. Cela consistait autant par l’analyse des avis écrits pour écarter toute fraude que par la vérification de l’authenticité des comptes.

Lutter contre la fraude à tous les étages

La fraude passe aussi par d’autres moyens selon Apple. Il y a la classique création de comptes frauduleux, que ce soit par des développeurs pour soumettre des applications. Rien qu’en 2020, 244 millions de comptes clients ont été désactivés en raison d’activités frauduleuses et abusives. En outre, 424 millions de tentatives de création de comptes ont été rejetées pour comportements suspects.

Pour les développeurs, le risque est de perdre son accès au programme développeur de l’App Store et de voir son compte résilié. Ce fut le cas de 470 000 comptes développeur en 2020 pour 205 000 inscriptions rejetées, car elles présentaient quelques positions douteuses. « Malgré les techniques sophistiquées des fraudeurs pour masquer leurs actions, la surveillance agressive d’Apple signifie que ces comptes sont clôturés, en moyenne, moins d’un mois après leur création », annonce Apple.

1,5 milliard de dollars de transactions frauduleuses évités

Et Apple va même chasser au-delà de ses terres en traquant également les applications illégitimes sur des vitrines pirates (110 000 en 2020). Il s’agit souvent d’apps malveillantes qui ressemblent à des apps populaires et promettent l’installation sans passer par l’App Store. Le programme Apple Developer Enterprise, qui permet aux entreprises de distribuer des applications en interne, a également été visé par des tentatives frauduleuses pour contourner le processus sécurisé et faire installer des apps dangereuses. Ce qui permettrait notamment de récupérer des informations confidentielles au sein d’entreprise ou de prendre le contrôle de certains ordinateurs.

Surveiller les apps, les comptes Apple et les avis : tout ce qui pourrait nuire à l’expérience utilisateur sur la boutique de la pomme au moment du téléchargement est passé au crible, mais pas seulement. Quand il est question de sécurité, les outils de paiement et notamment Apple Pay sont un sujet sérieux. Apple Pay et StoreKit sont ainsi utilisés par plus de 900 000 applications, mais aucune donnée bancaire n’est partagée avec les commerçants. Apple annonce avoir renforcé la sécurité et évité ainsi plus de 1,5 milliard de dollars de fraude l’an dernier par le biais notamment de détection d’informations détournées ou volées pour des achats de biens ou services avec des cartes volées.

Les derniers articles