Les SophosLabs ont découvert une série d’applications Android sur le Play Market de Google, dont le seul objectif semble être de surfacturer les utilisateurs par le biais d’applications mobiles offrant des fonctionnalités très simples, disponibles sur des applications gratuites ou à faible coût.
Les développeurs d’applications tirent parti d’un business model rendu possible par l’écosystème du Play Market et dans lequel les utilisateurs peuvent télécharger et utiliser des applications gratuitement pendant une courte période d’essai. À la fin de celle-ci, si l’utilisateur qui a téléchargé et installé l’une de ces applications n’a pas désinstallé cette dernière et n’a pas informé le développeur qu’il ne souhaitait plus continuer à l’utiliser, alors le développeur facturera cet utilisateur.
Dans le cas d’une application normale, les sommes en jeu sont de l’ordre de quelques euros. Mais les éditeurs ou les développeurs des applications décrites dans cet article facturent en général aux utilisateurs des centaines d’euros.
Les applications elles-mêmes ne semblent pas être malveillantes ou ne contiennent pas de code malveillant. Certaines de ces applications peuvent même offrir une fonctionnalité utile. Cependant, il est difficile d’imaginer qu’une personne qui se voit facturée des centaines d’euros pour un simple lecteur de code-barres ou un filtre photo ne considère pas une telle dépense comme «potentiellement indésirable», car en réalité personne ne souhaite se retrouver dans une telle situation.
Comme ces applications se trouvent dans une sorte de zone grise d’un point de vue classification, ne pouvant être considérées comme des malwares, ni comme des applications potentiellement indésirables (PUA), nous avons inventé le terme fleeceware, car leur caractéristique est qu’elles surfacturent les utilisateurs pour des fonctionnalités largement disponibles via des applications gratuites ou à faible coût.
Nous avons contacté des représentants du Play Market de Google pour savoir si les conditions générales de vente de ces applications enfreignaient les politiques publiques ou internes de Google.
Les représentants de Google n’ont pas indiqué si des abonnements mensuels premium aux applications dotées de fonctionnalités très basiques enfreignaient leurs politiques d’achats intégrés (in-app). La semaine dernière, après que Sophos a attiré leur attention sur ce comportement d’achat et envoyé une liste de 15 applications impliquées dans cette pratique, un représentant de Google nous a précisé que l’entreprise avait décidé de retirer certaines de ces applications de leur magasin. Selon nos chiffres, 14 des 15 applications, au sujet desquelles Google avait été informé, avaient été supprimées. Une recherche ultérieure a révélé un autre groupe d’applications, avec un nombre de téléchargements encore plus élevé que le premier, mais qui quant à lui, était toujours disponible sur le Play Market.
Nous encourageons Google à redoubler d’efforts pour renforcer ses politiques qui, à l’heure actuelle, n’empêchent pas explicitement les développeurs d’applications de tirer parti de cette faille au niveau des achats intégrés. Les clients, pour qui ce désagréable sentiment de s’être fait piégé est insupportable, n’auront sans doute aucun recours pour se faire rembourser après quelques jours. Si vous ne surveillez pas très activement votre carte de crédit à la recherche de ce genre de frais, il est possible que vous ne le remarquiez pas avant que le délai de remboursement n’expire.
Le business model du fleeceware
Comme les applications elles-mêmes ne se livrent à aucune activité malveillante traditionnelle, elles contournent les règles qui permettraient à Google de justifier facilement leur retrait du Play Market. Leurs développeurs semblent également très doués pour passer inaperçu aux yeux des éditeurs de solutions de sécurité. Cependant, il existe tout de même d’autres caractéristiques que ces applications possèdent et qui les rendent nettement moins agréables.
Ces applications sont bien souvent très simples. Nous avons observé des outils tels que des lecteurs de code-barres ou de codes QR, des calculatrices, des outils pour créer des GIF animés ou des éditeurs de photos. Dans la plupart des cas, des alternatives gratuites proposées par des éditeurs renommés sont déjà disponibles sur le Play Market.
Lorsque vous lancez l’une de ces applications, celle-ci invite l’utilisateur à s’inscrire pour une très courte période d’essai gratuit, généralement 3 jours, via une interface au niveau de l’application même. Les développeurs de ces applications exigent que vous vous inscriviez avec vos données de paiement avant de pouvoir utiliser l’application, et de nombreux utilisateurs ne comprennent toujours pas que pour arrêter l’essai, on leur demande d’informer explicitement le développeur qu’ils souhaitent effectivement mettre un terme à cette période d’essai.
Beaucoup oublient simplement de le faire ou pensent que la désinstallation de l’application constitue une résiliation en soi. Mais les développeurs de ces applications n’ont visiblement pas la même approche que vous.
Dans de nombreuses évaluations concernant ces applications fleeceware, des utilisateurs ont signalé qu’ils n’ont pas réussi à se désinscrire et à résilier la période d’essai et qu’ils se sont vus facturer des sommes très élevées. Dans le cas d’une application de lecture de code QR, le développeur a facturé 104,99 € aux utilisateurs après 72 heures seulement. Les développeurs d’une application appelée Professional GIF Maker ont facturé 214,99 € aux utilisateurs à la fin de l’essai. Nous n’avons jamais vu des applications vendues à ces prix-là auparavant.
C’est un business model qui est vraiment sur le fil du rasoir d’un point de vue éthique, mais il semble avoir du succès. Un certain pourcentage d’utilisateurs n’arrivera pas à annuler l’essai, et ce même s’il a l’intention de le faire, et les développeurs d’applications gagnent leur vie sur le dos de ces utilisateurs qui oublient de se désinscrire ou qui demandent un remboursement pendant le court délai qui leur est accordé.
Avec dans certains cas des millions d’installations, même si un faible pourcentage d’utilisateurs oublie de résilier leur abonnement avant la fin de la période d’essai, les développeurs de ces applications auront gagné quand même beaucoup d’argent.
Les utilisateurs de ces applications voient apparaître des notifications d’essai comme celle présentée ci-dessus lorsqu’ils lancent pour la première fois une application qui utilise ce genre de pratique. Les personnes qui s’inscrivent à la période d’essai sont tenues de fournir des informations de paiement lors du premier lancement de l’application via le paiement des achats intégrés de Google.
Bien sûr, ils peuvent “résilier à tout moment”, mais disons que cette opération coûtera un peu plus cher qu’un abonnement classique à un magazine. Une fois que vous avez été débité, vous n’aurez pratiquement aucun recours possible pour récupérer votre argent.
En réalité, le Play Market de Google autorise ce type de transactions, car elles respectent les règles en vigueur concernant les achats intégrés. Bien qu’elles ne soient clairement pas en faveur du consommateur, ces applications ne sont pas perçues comme malveillantes pour autant, et elles offrent effectivement le service qu’elles disent proposer.
Bien que les consommateurs soient libres d’acheter tout ce qui leur plaît, nous ne pensons pas qu’une application permettant de générer une image GIF animée devrait coûter des centaines d’euros. Et dans certains cas, l’éditeur ne facture pas les utilisateurs qu’une seule fois : en effet, plusieurs de ces applications fleeceware indiquent aux utilisateurs qu’ils seront facturés tous les mois jusqu’à ce qu’ils résilient leur abonnement.
Voici une liste de certaines des applications fleeceware que nous avons identifiées sur le Play Market de Google. Comme nous l’avons mentionné précédemment, 14 autres applications qui utilisaient ces mêmes pratiques commerciales ont par la suite été retirées du Play Market par des représentants de Google, après que nous nous sommes renseignés sur le business model utilisé. Celles énumérées ci-dessous sont encore disponibles, nous nous sommes donc abstenus de faire un lien direct.
La colère des utilisateurs de fleeceware
Les évaluations des utilisateurs sur le magasin du Play Market indiquent clairement que de nombreux utilisateurs qui ont installé ces applications et qui se sont vus facturer des frais exorbitants sont tout naturellement furieux. Les utilisateurs ont indiqué que des montants différents leur avaient été facturés en fonction de leur emplacement géographique. Certaines personnes ont demandé à Google de supprimer ces applications et d’autres veulent obtenir un remboursement.
Google s’occupe de ce problème
Google contrôle les applications qu’il met à disposition sur son magasin en ligne afin de détecter des activités malveillantes et des fraudes potentielles. Mais ces applications ont échappé à l’attention de Google en restant à la limite de la légalité, et ont exploité le fait que la plupart des utilisateurs ne lisent pas les petits caractères.
Pire encore, ces applications ne sont même pas particulièrement utiles, uniques ou efficaces. Les éditeurs qui se lancent dans cette pratique commerciale ne font que proposer des versions d’applications largement utilisées et déjà existantes (et dans certains cas proposées gratuitement), mais développées par des éditeurs bien plus réputés qu’ils ne le sont. Par exemple, Sophos dispose également d’un lecteur de code QR dans son application Sophos Mobile Security.
De tels outils sont certes utiles, mais pas à des tarifs avoisinant des centaines d’euros par mois. Pour finir, nous pensons que c’est le bon moment pour vous le dire : Restez vigilant en permanence !
Billet inspiré de ‘Fleeceware’ apps overcharge users for basic app functionality, sur le Blog Sophos.
Qu’en pensez-vous ? Laissez un commentaire.