Le jailbreak a fait son temps. Cette méthode a permis la sortie d’iPhone en 2007, ainsi qu’à certains d’installer des jeux ou du contenu tiers sur leur appareil. Les hackers, après une dizaine d’années, ont développé de nouvelles techniques pour installer du contenu non autorisé par Apple sur l’App Store, malgré des mesures de sécurité très strictes. C’est par exemple le cas de « Jungle Runner 2K21 », titre qui se faisait passer pour une application de jeu destiné aux enfants, mais qui cachait en son sein un site de casino en ligne. Comment cela a-t-il été possible ? Quelles sont les réactions d’Apple ?
Une boutique d’applications aux règles et vérifications strictes
Pour sa fameuse boutique pour applications iOS nommée App Store, Apple a élaboré des termes et conditions strictes que doit respecter toute application intégrée ou souhaitant intégrer la boutique. Apple met en garde les applications et leurs développeurs contre certaines pratiques, exige de ces derniers une transparence totale en ce qui concerne les données d’utilisateurs, et les contraint même de faire une demande avant de procéder à la collecte de ces données.
Mieux encore, Apple emploie de nombreux experts qui vérifient minutieusement les applications à intégrer à l’App Store, à travers un système ou une procédure automatisée. De plus, pour soumettre une application iOS sur l’App Store, Apple exige une l’intervention d’une véritable personne humaine, et non un programme informatique ou toute forme d’automatisme.
Toutes ces mesures sont destinées à écarter de la boutique des applications illicites, malveillantes, portant atteinte à certaines personnes, ou allant à l’encontre des juridictions où opère légalement Apple. Ces mesures sont perçues par Apple comme si efficaces que l’entreprise américaine se porte garante des applications qui figurent dans l’App Store.
Toutefois, malgré cette assurance et la rigueur des vérifications et règles d’Apple, certaines personnes ou certains développeurs d’applications iOS réussissent à tromper sa vigilance, comme c’est le cas des développeurs du prétendu jeu pour enfants « Jungle Runner 2K21 ».
Des développeurs malins
Jungle Runner 2K21 n’était rien d’autre que l’arbre qui cache la forêt, ou le loup à la peau d’agneau. Derrière la façade décorée par le visage de l’innocence, précisément celui d’enfants jouant naïvement à ramasser des bananes avec un singe, se cachait un tripot clandestin.
Jungle Runner 2K21 se présentait comme un jeu drôle de course mettant en scène un signe qui cavale et ramasse des bananes. Pourtant il n’en était rien en réalité. Le jeu en question était en réalité un casino en ligne.
Il s’agissait par conséquent d’un casino en ligne illicite et non réglementé, d’autant plus qu’il s’adressait à joueurs situés dans des territoires où ni Apple ni le jeu ne possèdent de licence de jeu de casino. Les développeurs de ce jeu-casino avaient tout prévu, y compris un navigateur interne pour accéder au casino, ou encore un système spécifique de paiement. En camouflant les choses de la sorte, ils pouvaient ainsi se passer de payer des commissions de 15 % à 30 % qu’exige généralement Apple.
Voilà donc un jeu apparemment réservé aux enfants de 4 ans et plus qui s’est avéré être ou cacher un casino en ligne. Cela implique donc de dépenser de l’argent pour prendre part aux parties et espérer obtenir des gains ou récompenses, et rend très probable le développement de problèmes de jeu chez les enfants et même chez ceux à qui ce casino caché était implicitement réservé.
C’est pourquoi il est plus que jamais indispensable pour les parents de contrôler les jeux auxquels prennent part leurs enfants, et de s’assurer que ces jeux promeuvent et respectent les règles du jeu responsable. C’est d’ailleurs ce que recommandent des experts en cybersécurité comme Jake Moore, réagissant à la suite de la révélation des cas d’applications frauduleuses et détournées intégrant l’App Store.
Un jeu accessible depuis certains pays ou avec un VPN depuis n’importe quel pays
C’est le dénommé Kosta Eleftheriou, lui aussi développeur d’applications, qui a découvert ce pot aux roses. Derrière ce jeu présumé, se cachait dons un casino en ligne, lequel était en conséquence illégal. On peut dire que les développeurs qui ont réussi ce tour de manège sur l’App Store ont bien choisi le héros de leur faux jeu pour enfants (un signe), puisqu’eux aussi se sont montrés malins comme des signes face aux règles et vérifications d’Apple.
L’accès au casino était réservé aux résidents de l’Italie, du Kazakhstan, ou encore de la Turquie, et aux personnes utilisant un VPN qui les localisaient dans l’un de ces pays (afin de contourner l’interdiction d’accès depuis certains pays). Il était donc possible à tout le monde d’accéder à ce jeu, mieux à cette application de casino en ligne.
Ainsi, si comme Kosta Eleftheriou possédant une adresse IP aux États-Unis, vous ouvriez l’application avec un VPN vous localisant en Turquie, il est clair que vous auriez eu accès à un casino en ligne et non à un jeu pour enfants.
Concrètement, à la place du singe qui courait dans l’application présumée de jeu pour enfants, vous auriez aperçu plutôt une roue de jeu de roulette. Vous vous serez ainsi introduit dans un vrai casino en ligne, où la possibilité vous était offerte de parier en argent réel ou en cryptomonnaie.
Un système de paiement dédié
Les développeurs de ce casino caché derrière un jeu pour enfants ont installé leur propre système de paiement au lieu d’utiliser le système de paiement intégré d’Apple. En effet et logiquement, pour accéder à ce casino en ligne, il fallait bien avoir contourné le système de paiement intégré d’Apple.
Comment cela a-t-il pu être possible, quand Kosta Eleftheriou affirme que cette application a passé plusieurs mois sur l’App Store malgré les mises à jour ? Quels risques pour ces personnes qui ont installé par inadvertance cette application malveillante, et principalement pour ces nombreux enfants qui ont naïvement cru qu’ils étaient dans leur univers de jeu ? Faut-il encore véritablement croire Apple qui dit avoir créé un endroit sûr et fiable pour ceux qui veulent télécharger des applications et ceux qui veulent en créer ? La garantie qu’Apple propose en termes de sécurité, de confidentialité et de qualité éditoriale serait-elle un leurre ?
Une volonté de dévoiler les failles sécuritaires d’Apple
Avec Magical Forest Puzzle – une autre application proposée par les mêmes développeurs de Jungle Runner 2K21 – et les autres cas d’applications iOS frauduleuses sur l’App Store, il y a le fort désir d’affirmer qu’Apple n’est pas aussi sûre qu’il le prétend. Alors que cette autre application (Magical Forest Puzzle) avait l’air d’être un banal jeu de puzzle pour n’importe quel utilisateur des États-Unis, en y accédant depuis l’Italie ou la Turquie, l’application se métamorphosait en une vraie salle de jeu d’argent.
De nombreux utilisateurs qui sont tombés dans le panneau ont dû se laisser prendre par le faux message publicitaire qu’ont délivré les arnaqueurs en faisant croire que CNN avait présenté cette application.
D’ailleurs, Kosta Eleftheriou pense que le choix de l’App Store pour faire passer cette fausse application de jeu d’argent n’est ni hasardeux ni anodin. Il faut y voir selon lui une stratégie visant à intéresser davantage de personnes, sachant qu’Apple est connue et appréciée pour ses mesures de sécurité.
Comme quoi, pour cacher un arbre il vaut mieux le planter dans la forêt. C’est la confiance absolue que de nombreux utilisateurs ont vis-à-vis des applications iOS qui aurait sans doute causé les pertes éventuelles d’argent enregistrées par ceux qui ont téléchargé ces applications malveillantes et pris part à leurs jeux d’argent.
Apple dit prendre au sérieux les menaces que constituent ces fraudes
Après la découverte de ces applications de jeu de casino par Kosta Eleftheriou, Apple n’a pas réagi. Mais compte tenu des précédents cas similaires enregistrés par la marque à la pomme croquée, ses responsables ont dit prendre au sérieux la menace que font peser ces activités frauduleuses sur leur notoriété et sur la sécurité des utilisateurs.
Jake Moore, spécialiste en cybersécurité, a pour sa part affirmé qu’il y a une réelle inquiétude dès lors que les enfants sont pris pour cible avec ces applications frauduleuses.
Voilà pourquoi il n’a pas hésité à appeler les parents et les tuteurs à plus de vigilance. Aussi ajoute-t-il que malgré le processus rigoureux de vérification mis en place par Apple, il est important que l’entreprise américaine mette en place davantage de mesures plus restrictives.
En attendant que de telles mesures soient prises, Apple continue de se faire infiltrer sur iOS par des applications douteuses, détournées et frauduleuses. Le même Kosta Eleftheriou, après cette application de jeu d’argent déguisée en jeu d’enfants (Jungle Runner 2K21), a découvert une autre application qui, en contournant le système d’achat intégré d’Apple, a pu s’attirer de nombreux utilisateurs iOS. Comme quoi peut-être qu’installer des applications piratées ou interdites sur un iPhone est bien plus facile que ce que prétend Apple.