Ne vous fiez pas aux avis et notes sur Google Play

2 Sep 2016

Parfois les utilisateurs d’Android doivent télécharger des applis glauques sur Google Play. Par « glauque », on entend applications inhabituelles, des apps de petits éditeurs, etc, pas comme celles d’Evernote, Dropbox, d’applications bancaires, ou d’autres programmes populaires. Il pourrait s’agir par exemple d’une calculatrice d’ingénierie spécialisée, ou d’un lecteur de musique alternative.

google-play-ratings-featuredDe nombreuses applis de ce genre existent sur la boutique en ligne de Google Play, des milliers en réalité. Et les choisir n’est pas chose facile. Les utilisateurs chevronnés d’Android recommandent de faire confiance aux applications qui ont été le plus souvent téléchargées, celles qui ont une note élevée ou qui ont de nombreux avis positifs.

Ça semble tout à fait logique : il y a de fortes chances pour qu’une appli téléchargée en masse soit pratique et utile. Et des notes élevées signifient que les utilisateurs ont aimé l’application. De bons avis seraient également signe d’un programme populaire. Rassemblés, ces trois critères semblent être l’alliance parfaite.

Cependant, cela ne veut pas forcément dire qu’une app peu téléchargée et avec peu d’avis soit mauvaise ; il se pourrait que cette application soit nouvelle, et que les utilisateurs n’aient pas eu le temps de l’évaluer. Mais il est vrai que de nombreux téléchargements et de bonnes critiques assurent généralement une garantie fiable. Après tout, les avis et notes sont faits pour faire marcher le système.

Cependant, tout n’est pas si simple : les chevaux de Troie peuvent télécharger sans faire de bruit des applis sur les smartphones des utilisateurs, écrire de faux avis, et gonfler les notes.

Les chevaux de Troie utilisent des rootkits, un des types de malwares mobiles les plus prolifiques. Ces chevaux de Troie se faufilent en général sur des applications populaires de boutiques en ligne tierces. Ils peuvent également infiltrer un smartphone en envoyant un SMS spammé ou des pubs malveillantes sur des sites web.

Les rootkits tirent leur nom de la capacité qu’ils ont à « s’enraciner » dans le système (autrement dit, pour obtenir des privilèges d’accès au niveau du système) et ainsi gagner le contrôle total sur le dispositif visé. Ils sont capables d’envoyer des SMS, de télécharger d’autres applications, et de faire un bon nombre d’autres choses à l’insu de l’utilisateur. Dans certains cas, les rootkits utilisent Google Play pour faire leurs petites affaires.

Par exemple, Guerilla, un cheval de Troie distribué par le rootkit Leech, détourne des identifiants d’utilisateurs sur Google Play. Il utilise ensuite l’interface de programmation de la boutique en ligne, se faisant passer pour un client, et télécharge, note, et donne son avis sur l’app à l’insu de l’utilisateur.

Il s’agit d’une véritable aubaine pour les cybercriminels, qui permettent à des smartphones infectés d’acheter des apps inutiles. Ils peuvent aussi poursuivre leur modèle opérationnel, en vendant des services aux développeurs pour « booster leurs notes », ou le revers de la médaille, rétrograder une app pour faire du tort aux concurrents.

En ce qui concerne les avis, c’est un peu plus compliqué : des opinions identiques peuvent sembler suspectes, et le langage doit paraître naturel. Mais il n’est pas rare du tout de voir de faux avis plausibles : « Super app, rien à redire ! » ou « Tout fonctionne parfaitement, il faut juste régler la langue », et ainsi de suite.

Les hackers peuvent générer une base de données d’avis standards et utiliser des chevaux de Troie afin de sélectionner et publier des avis de façon aléatoire, en les faisant paraître réels.

Tout ça pour vous dire que vous ne devriez pas faire confiance aveuglement aux notes et avis sur Google Play. Mais alors, comment choisir une appli ?

Voici quelques conseils :

1.Essayez de vous en tenir à des applications conçues par des développeurs connus et de confiance. Cherchez le signe du diamant bleu, il indique qu’il s’agit d’un « top développeur », déterminé par l’équipe de Google Play. Bien évidemment, tous les bons développeurs n’ont pas ce diamant, néanmoins un bon développeur doit être référencé sur Internet, renseignez-vous sur le Web.

2.Lisez les avis. Oui, en dépit de commentaires négatifs, si une app en vaut la peine, elle aura des avis détaillés, pas uniquement quelques lignes disant « Tout fonctionne, bon travail ». Des avis poussés sont indispensables lorsque vous avez besoin d’une première impression.

3.Installez une solution de sécurité sur votre dispositif Android. La probabilité de télécharger une application malveillante sur Google Play est très faible, de telles apps étant largement diffusées par le biais de SMS ou de publicités malveillantes. Une solution de sécurité vous épargnera d’être la marionnette des cybercriminels et les empêcher ainsi de publier de faux avis à votre insu.