Des fraudeurs ont détecté un nouveau type d’applications à exploiter sur les magasins d’applications mobiles : les applications d’authentification.
Alors que plusieurs plateformes web recommandent d’éviter l’utilisation des SMS pour recevoir des codes d’authentification, des malfrats ont commencé à générer de faux programmes d’authentification pour cibler les utilisateurs (et leur argent).
C’est irritant de voir des individus mal intentionnés tirer profit des efforts des gens pour renforcer leur sécurité numérique, mais il y a des mesures simples à prendre pour se défendre.
Fonctionnement de l’arnaque avec les applications d’authentification
Mysk, un blog de sécurité tenu par des développeurs iOS, a relevé cette arnaque sur Twitter.
Lorsque vous cherchez des applications d’authentification populaires, comme Google Authenticator ou Microsoft Authenticator, les fraudeurs achètent les résultats sponsorisés en haut de la page. Par conséquent, la première application qui apparaît dans les résultats pourrait être une contrefaçon.
Après avoir téléchargé ces applications douteuses, on vous sollicitera inévitablement pour payer des frais excessifs, tels que 40 $ par mois pour recevoir des codes de connexion. (Il est évident que vous pouvez obtenir ces codes gratuitement à partir d’applications légitimes.)
Apple et Google ont tous deux fait preuve de proactivité pour supprimer certaines de ces applications contrefaites, mais les escrocs trouveront toujours de nouveaux moyens de remettre ces authentificateurs sur le marché, sous une autre forme.
Habituellement, les applications frauduleuses présentent une icône de verrouillage assez banale et utilisent le nom « Authenticator » pour paraître authentiques. Il semble qu’il y ait peu de place pour la créativité dans le monde des fraudeurs.
Comment éviter les fausses applications d’authentification
Il vous est possible d’échapper à ces escrocs en prenant quelques mesures. Tout d’abord, ne vous fiez pas au premier résultat qui apparaît lorsque vous recherchez l’App Store sur votre iPhone ou le Google Play Store sur Android. Même si la première appli semble être légitime, vous devriez cliquer sur le nom du développeur pour vérifier son authenticité. Par exemple, Google LLC est le développeur derrière Google Authenticator.
Deuxièmement, faites une recherche rapide en ligne pour trouver vos applications d’authentification favorites. Tant que vous tomberez sur les pages de téléchargement officielles de Google ou Microsoft pour leurs applications d’authentification, vous serez redirigé vers la bonne application sur votre téléphone.
La meilleure précaution contre ces applications d’escroquerie est de choisir une option populaire et d’éviter les applications inconnues. Si vous tombez sur une application d’authentification obscure sur votre smartphone, vous pouvez la supprimer dès qu’elle vous demande de payer. Toutes les meilleures applications d’authentification sont gratuites, ou proposent au moins une version gratuite.
Vous pouvez contourner les tentatives de ces escrocs de vous voler en utilisant des applications avec une authentification à deux facteurs intégrée. Vous pouvez essayer des services tels que 1Password, Bitwarden ou le propre Keychain d’Apple. Toutes ces solutions supportent les codes d’authentification en plus de la gestion des mots de passe, et une solution intégrée peut être la meilleure pour la plupart des gens.