Un gestionnaire de mots de passe LastPass qualifié de « frauduleux » démarré depuis l'App Store
-
“LassPass” imite le nom et le logo du véritable gestionnaire de mots de passe LastPass.
Alors qu’Apple a intensifié la promotion de son App Store en tant que source d’applications plus sûre et plus fiable, ses opérateurs se sont empressés jeudi de corriger une menace majeure qui pèse sur ce récit : une liste qui, selon le fabricant du gestionnaire de mots de passe LastPass, était une « application frauduleuse usurpant l’identité » de son marque.
Au moment où cet article sur Ars a été mis en ligne, Apple avait supprimé l’application, intitulée LassPass et portant un logo étonnamment similaire à celui utilisé par LastPass, de son App Store. Dans le même temps, Apple a autorisé le maintien d’une application distincte soumise par le même développeur. Apple n’a fourni aucune explication sur la raison de la suppression de l’ancienne application ou du maintien de la seconde.
Apple met en garde contre les « nouveaux risques » liés à la concurrence
Cette décision intervient alors qu’Apple a intensifié ses efforts pour promouvoir l’App Store comme une alternative plus sûre aux sources concurrentes d’applications iOS récemment mandatées par l’Union européenne. Dans une interview avec Phil Schiller, responsable de l’App Store, publiée ce mois-ci par FastCompany, Schiller a déclaré que les nouveaux magasins d’applications « apporteront de nouveaux risques » – notamment la pornographie, les discours de haine et d’autres formes de contenu répréhensible – qu’Apple a longtemps tenu à distance.
“Je n’hésite pas à dire que notre objectif sera toujours de faire de l’App Store l’endroit le plus sûr et le meilleur pour que les utilisateurs puissent obtenir des applications”, a-t-il déclaré à l’écrivain Michael Grothaus. « Je pense que les utilisateurs – et l’ensemble de l’écosystème des développeurs – ont bénéficié du travail que nous avons effectué avec eux. Et nous allons continuer à le faire.
D’une manière ou d’une autre, le processus de vérification des applications d’Apple, vanté depuis longtemps même si Apple a fourni peu de détails, n’a pas réussi à repérer le sosie de LastPass. Apple a supprimé LassPass jeudi matin, deux jours après avoir signalé l’application à Apple et un jour après avoir averti ses utilisateurs que l’application était frauduleuse.
“Nous portons ce problème à l’attention de nos clients pour éviter toute confusion potentielle et/ou perte de données personnelles”, a écrit Mike Kosak, analyste principal du renseignement chez LastPass.
Il est indéniable que le logo et le nom étaient étonnamment similaires aux noms officiels. Vous trouverez ci-dessous une capture d’écran de l’apparition de LassPass, suivie de la liste officielle LastPass :
L’entrée LassPass telle qu’elle apparaît dans l’App Store.
L’entrée officielle LastPass.Ici hier, parti aujourd’hui
Thomas Reed, directeur des offres Mac de la société de sécurité Malwarebytes, a noté que l’entrée LassPass dans l’App Store indiquait que la politique de confidentialité de l’application était disponible sur bluneel[.]com, mais que la page avait disparu jeudi et que la page principale affiche un page de destination générique. Les enregistrements Whois indiquent que le domaine a été enregistré il y a cinq mois.
Rien n’indique que LassPass ait collecté les informations d’identification LastPass des utilisateurs ou copié les données stockées. L’application fournissait cependant des champs permettant aux utilisateurs de saisir une multitude d’informations personnelles sensibles, notamment des mots de passe, des adresses e-mail et physiques, ainsi que des données de cartes bancaires, de crédit et de débit. L’application proposait une option pour les abonnements payants.
Un représentant de LastPass a déclaré que la société avait pris connaissance de l’application mardi et avait concentré ses efforts sur sa suppression plutôt que sur l’analyse de son comportement. Les responsables de l’entreprise ne disposent pas d’informations précises sur ce que LassPass a fait lors de son installation ou lors de sa première apparition dans l’App Store.
L’App Store continue d’héberger une application distincte du même développeur qui est simplement répertorié sous le nom de Parvati Patel. (Une recherche rapide sur Internet révèle de nombreuses personnes portant le même nom. Pour le moment, il n’a pas été possible d’identifier la personne spécifique.) L’ application distincte s’appelle PRAJAPATI SAMAJ 42 Gor ABD-GNR et une politique de confidentialité correspondante (sur psag42 [.]in/policy.html) est daté de décembre 2023. Il est décrit comme une « application pour l’application Ahmedabad-Gandhinager Prajapati Samaj » et en outre comme une « plateforme pour la communauté ». L’application a également été récemment répertoriée sur Google Play, mais n’était plus disponible au téléchargement au moment de la publication. Les tentatives pour contacter le développeur ont échoué.
Rien n’indique que l’application distincte enfreint une politique de l’App Store. Les représentants d’Apple n’ont pas répondu à un e-mail posant des questions sur l’incident ou sur son processus ou ses politiques de vérification.
-
Ça tombe pile au moment où Apple doit accepter d’autres stores…
-
@Ashura C’est ce que j’ai pensé au premier abord, mais ça n’a rien d’étonnant non plus que des salauds s’engouffrent dans la brèche…
-
@duJambon
Peut-être que tu as raison mais ils vont nous faire le coup à chaque fois comme les politiciens qui nous bassinent avec leurs projets de surveillance du net en nous expliquant que “c’est pour notre bien, c’est contre le terrorisme, c’est pour protéger les enfants” etc…
Du coup, tout ce qui ne viendra pas de chez eux sera des diableries à combattre à coup de sandales du vénéré prophète Steve Jobs…
-
En l’occurence, perso j’y vois surtout un coup de pub de LastPass. Il y a des dizaines de clones d’app connues sur le store, avec un nom similaire à l’original, ça n’a rien de nouveau, ni de secret, ni de spécialement dangereux. Aux dernières nouvelles cette app ne faisait rien de mal sinon offrir un service similaire, avec un nom similaire et une icone rouge (qui ne ressemble pas vraiment, faut arrêter). La belle affaire.
-
Bien que je m’en foute éperdument, je n’irais pas confier mes mots de passe à quiconque, et même si Lasspass ne se sert pas de ce qu’elle détient, c’est quand même un sacré détournement, voire du phishing.
Mais ce n’est que mon humble avis…
-
@duJambon a dit dans Un gestionnaire de mots de passe LastPass qualifié de « frauduleux » démarré depuis l'App Store :
Bien que je m’en foute éperdument, je n’irais pas confier mes mots de passe à quiconque, et même si Lasspass ne se sert pas de ce qu’elle détient, c’est quand même un sacré détournement, voire du phishing.
Mais ce n’est que mon humble avis…
Et tu as raison à 100%, moi mes mots de passe je les ai confiés à mon carnet de notes physique, à l’ancienne.
-
@Beck49 a dit dans Un gestionnaire de mots de passe LastPass qualifié de « frauduleux » démarré depuis l'App Store :
moi mes mots de passe je les ai confiés à mon carnet de notes physique, à l’ancienne.
Moi qui pensais être le seul, bienvenue dans le club des cahiers à spirales.
-
@michmich a dit dans Un gestionnaire de mots de passe LastPass qualifié de « frauduleux » démarré depuis l'App Store :
@Beck49 a dit dans Un gestionnaire de mots de passe LastPass qualifié de « frauduleux » démarré depuis l'App Store :
moi mes mots de passe je les ai confiés à mon carnet de notes physique, à l’ancienne.
Moi qui pensais être le seul, bienvenue dans le club des cahiers à spirales.
Y a que ça de vrai, chef !
-
@Beck49 je viens de te MP concernant la forêt.
