Les certificats d'entreprise d'Apple ont également été utilisés par des plateformes proposant des versions piratées d'applications disponibles sur l'App Store. Apple a beaucoup de difficultés à résoudre le problème.
L'utilisation des certificats d'entreprise d'Apple est décidément bien différente de sa fonction première. Il y a quelques jours, on apprenait que Google et Facebook utilisait ce dispositif permettant de distribuer des applications en interne pour proposer des logiciels récoltant les données personnelles de ses utilisateurs. D'autres éditeurs ont utilisé ces certificats pour contourner les règles d'utilisation d'Apple et proposer des applications pornographiques et des jeux d'argent.
Des apps piratées proposées en contournant l'App Store
Cette fois, Reuters affirme que des plateformes d'applications piratées comme TutuApp, Panda Helper, AppValley ou TweakBox utilisaient également leurs certificats d'entreprise pour mettre à dispositiob des versions piratées de logiciels. Ces dépôts proposaient par exemple une application Spotify permettant d'accéder à toutes les fonctionnalités Premium sans être abonné ou des copies pirates de jeux payants.Ces plateformes proposent également des packs VIP, proposant plusieurs applications piratées avec la promesse d'éliminer toutes les publicités présentes dans les versions officielles ou en intégrant leurs propres annonces, même dans des logiciels n'intégrant pas de pubs en temps normal.
Les éditeurs et Apple peinent à empêcher les contrefaçons
Les entreprises touchées par ces contrefaçons essaient de lutter contre ce piratage et font la chasse aux utilisations frauduleuses, mais elle reste très compliquée. Les hackers redoublent d'astuces pour contourner les protections.Apple cherche également à détecter les usages illicites de ces certificats d'entreprise et à révoquer les accès. Mais les gérants de ces plateformes en demandent de nouveaux et peuvent continuer à proposer leur contenu piraté.
La Pomme a mis en place tout récemment une identification à deux facteurs obligatoires pour les développeurs, afin d'accéder à ces certificats. Cette manœuvre permettrait de mieux repérer les pirates possédant le même numéro de mobile et de les empêcher de soumettre une nouvelle demande d'accès d'entreprise.
