Le faux gestionnaire de mots de passe LastPass trouvé sur l’App Store d’Apple a été retiré. On ne sait pas encore si c’est Apple ou le développeur du faux logiciel qui a retiré l’application frauduleuse — qui se déguisait en gestionnaire de mots de passe LastPass sur l’App Store d’Apple.
Apple n’a pas répondu aux questions concernant le retrait, bien qu’elle soit très vigilante sur ce type de problèmes et qu’elle surveille sans relâche sa boutique d’applications.
Christofer Hoff, Chief Secure Technology Officer de LastPass, a déclaré à TechCrunch : « Après avoir vu la fausse application “LassPass” dans l’Apple App Store, LastPass a immédiatement entamé une approche coordonnée et multidimensionnelle avec nos équipes de renseignement sur les menaces, juridiques et d’ingénierie pour faire retirer l’application frauduleuse ».
Hoff poursuit : « Notre équipe de renseignements sur les menaces a publié un article de blog hier pour sensibiliser et informer le public et nos clients de la situation. Nous sommes en contact direct avec des représentants d’Apple, qui ont confirmé la réception de nos plaintes, et nous travaillons à la procédure de retrait de l’application frauduleuse ».
Pour tromper les consommateurs, l’application frauduleuse imite la marque et l’interface utilisateur de LastPass et est distribuée sous l’identité d’un seul développeur, Parvati Patel. La fausse application comportait plusieurs fautes de frappe, ce qui devrait toujours donner à réfléchir et laisser penser qu’il s’agit d’un faux.
En plus d’être publiée par un développeur distinct qui n’est pas LogMeIn, la société propriétaire de LastPass, la fausse application a été distribuée sous l’identité de Parvati Patel, ce qui n’est pas très bon pour Apple.
Un contrôle trop lâche d’Apple
Le fait qu’une application apparemment frauduleuse ait pu franchir le processus généralement rigoureux d’examen des applications d’Apple n’est pas vraiment une bonne chose pour Apple Inc. qui s’est récemment battu contre de nombreuses réglementations, comme la loi européenne sur les marchés numériques (Digital Markets Act, DMA).
Appfigures, une société d’analyse d’applications, a indiqué que l’application a été lancée le 21 janvier, ce qui lui a donné quelques semaines pour attirer l’attention des utilisateurs. Appfigures a constaté que les utilisateurs eux-mêmes semblaient avoir compris qu’il s’agissait d’une fausse application, car toutes les évaluations de l’App Store d’Apple mettaient en garde contre la nature bidon de cette application. La fausse application a même utilisé des mots-clés pour se classer dans les moteurs de recherche.
La fausse application a peut-être réussi à tromper certains utilisateurs, même si elle n’en a probablement pas trompé beaucoup. Le pire pour la société LastPass est qu’elle a été obligée d’alerter ses vrais utilisateurs sur un forum public à propos de l’application frauduleuse dans la boutique, alors qu’elle n’aurait jamais dû être publiée. L’application n’a été retirée de l’App Store que le lendemain de la publication de l’article de LastPass.
