Vous souvenez-vous du truand Vincent Vega de Pulp Fiction qui voulait goûter un milk-shake juste parce qu’il coûtait la somme exorbitante de 5 dollars ? Voilà une réaction tout à fait normale : beaucoup associent automatiquement prix élevé à qualité extraordinaire. Même ceux qui n’ont pas l’intention d’acheter sont intéressés lorsqu’il s’agit de tester gratuitement un produit coûteux. Certains développeurs d’applications pour smartphone profitent de cette caractéristique humaine.
Le prix de la curiosité
Fin septembre, des chercheurs en sécurité des informations ont découvert qu’une série de calculatrices, scanners de code QR, éditeurs de photos et autres programmes avec des fonctionnalités de base sur Google Play avaient nettement augmenté leur prix d’abonnement à plus de 200 € par mois. Ces applications ont été téléchargées par des dizaines de millions de personnes, si ce n’est plus.
Les développeurs promettent aux utilisateurs une période d’essai de trois jours. Après s’être rendu compte qu’il serait inutile de payer l’abonnement à ces applications, de nombreux utilisateurs les ont désinstallées. Ils ont tout de même été facturés.
Que s’est-il passé ? Dans un premier temps, les victimes devaient fournir leurs coordonnées bancaires lorsqu’elles ouvraient l’application pour la première fois. Si elles ne le faisaient pas, l’application ne démarrait pas. Ceci permet à l’application avide de facturer l’abonnement aux utilisateurs sans leur consentement.
Ensuite, ce n’est pas parce que vous désinstallez l’application que vous vous désabonnez. C’est plutôt logique : cela vous empêche, par exemple, de perdre les playlists de l’application que vous utilisez pour écouter de la musique si vous veniez à la supprimer par erreur, et vous permet de restaurer les paramètres d’usine de l’appareil, ou d’utiliser l’application sur un autre téléphone. Toutefois, nombreux sont ceux qui ignorent cette nuance particulière. Même ceux qui le savent oublient parfois d’annuler leurs abonnements, ce qui profite aux créateurs de fleeceware.
Techniquement pas un logiciel malveillant
Vous vous demandez sûrement pourquoi de telles applications étaient disponibles sur Google Play. Hélas, ces calculatrices ou scanners de code QR, qui paraissent » irréprochables « , n’enfreignent techniquement aucune règle de la boutique en ligne. Ces applications remplissent les fonctions pour lesquelles elles ont été conçues, ne demandent pas d’autorisations superflues et ne contiennent pas de code malveillant. En ce qui concerne le prix de l’abonnement, rien ne leur interdit d’être sur Google Play.
Une limite maximale a été fixée pour de nombreux pays. Cependant, cette limite est la même pour un programme de montage vidéo avancé, qui pourrait vraiment valoir la peine, et pour un scanner de code QR ou une application lampe de poche. Au moment où nous écrivons cet article, le plafond s’élève à 400 dollars aux États-Unis alors qu’il est un peu plus bas en France (350 euros) et au Royaume-Uni (300 livres sterling). Si le prix de l’abonnement est inférieur, alors la boutique valide l’application et c’est désormais l’utilisateur qui doit considérer s’il est prêt à payer pour bénéficier de certaines fonctions. L’utilisateur ne peut s’en prendre qu’à lui-même s’il ne comprend pas l’abonnement qu’il a souscrit.
Néanmoins, lorsque Google a eu connaissance de ce problème, 14 des 15 applications qui appliquaient des tarifs trop élevés ont été supprimées de Google Play et, presque immédiatement après, les chercheurs en ont trouvées neuf autres. Il est fort probable que les boutiques principales d’applications contiennent beaucoup d’autres programmes similaires.
Fleeceware : un nouveau nom mais une vieille astuce
Ces applications ne peuvent pas être décrites comme des logiciels malveillants, et c’est pourquoi un nouveau terme a été inventé : fleeceware. Même si ce mot est assez récent, la technique utilisée (offre d’une période d’essai gratuite avec abonnement payant à la clé et caché dans le texte en petits caractères) existe depuis un certain temps et les développeurs d’applications mobiles ne sont pas les seuls à s’en servir.
Par exemple, en 2011-2012 un groupe d’escrocs offrait soi-disant gratuitement des échantillons de crème pour la peau aux femmes en Grande-Bretagne qui devaient commander en ligne pour en profiter. Une fois la commande passée, les utilisatrices s’abonnaient automatiquement à un paiement mensuel de 60-70 livres sterling (entre 80 et 90 euros). Ce petit détail figurait dans le texte en petits caractères que peu de personnes avaient pris la peine de lire.
Fleeceware pour iOS
Évidemment, les utilisateurs Android ne sont pas les seuls à rencontrer ce problème. Les développeurs d’applications fleeceware n’ont pas ignoré iOS. En 2017, par exemple, l’application Mobile Protection: Clean & Security VPN était supprimée de l’App Store. 50 000 utilisateurs l’ont téléchargée et au moins 200 d’entre eux ont décidé d’essayer cette fonction VPN avec abonnement. Ils ont été trompés par l’offre des » trois jours gratuits « . Leur curiosité leur a coûté 400 dollars par mois.
Il était inutile de s’abonner aux autres fonctions de l’application, qui ne servait pas d’ailleurs à grand-chose. Par exemple, l’application nettoyait le téléphone mais conservait les fichiers temporaires et les applications non utilisées et copiait les contacts.
Un autre exemple de fleeceware sous iOS est un scanner de code QR. Lorsque l’application était lancée, elle demandait à l’utilisateur de saisir des informations de paiement pour avoir droit à une période d’essai gratuite. Puis, une fois les trois jours écoulés, elle commençait à prélever 3,99 dollars par semaine.
Après plusieurs incidents de ce genre, Apple a commencé à faire la chasse aux applications qui ne décrivent pas correctement les conditions générales de l’abonnement. Sous iOS 13, un avertissement apparaît lorsque l’utilisateur essaie de désinstaller une application qui dispose d’un abonnement actif.
Comment se protéger des fleeceware
Les fleeceware profitent du fait que l’Homme soit curieux par nature et insouciant, qu’il aime les avantages gratuits et qu’il n’ait pas envie de se plonger dans la lecture des conditions générales d’un abonnement. Pour ne pas tomber dans le piège, vous devez avoir des doutes dès que vous remarquez quelque chose d’inhabituel.
- Ne téléchargez pas les applications qui proposent des fonctions basiques à un prix exorbitant ou à travers un abonnement. Il est fort probable qu’elles n’aient rien d’exceptionnel, sauf leur prix.
- Lisez les avis laissés par les utilisateurs sur l’application et son développeur avant de l’installer. S’il s’agit d’une arnaque, vous allez certainement trouver ces informations en ligne.
- Si vous vous inscrivez pour profiter d’une période d’essai gratuite mais n’envisagez pas de payer pour utiliser l’application, alors vérifiez que vous vous êtes bien désabonné. Pour ce faire, vous pouvez vous rendre dans la partie consacrée à la gestion de vos abonnements de votre compte Google Play si vous utilisez Android, ou iTunes si vous avez un iPhone ou un iPad.