Ces applications – appelées des fleecewares – exploitent des failles dans la politique des app stores ainsi que des tactiques coercitives pour surfacturer l’utilisation d’assistants IA

Paris — mai 22, 2023 —

Sophos, un leader mondial de la cybersécurité innovante « as a Service », annonce avoir découvert plusieurs applications qui se font passer pour des chatbots légitimes reposant sur ChatGPT afin de surfacturer les utilisateurs et d’engranger des milliers de dollars par mois. Comme le détaille le dernier rapport de Sophos X-Ops intitulé FleeceGP Mobile Apps Target IA-Curious to Rake in Cash, ces applications ont fait leur apparition à la fois sur Google Play et sur l’App Store d’Apple. Les versions gratuites étant quasiment dépourvues de fonctionnalités et truffées de publicités, elles contraignent des utilisateurs sans méfiance à souscrire un abonnement qui peut leur coûter plusieurs centaines de dollars par an.

« De tout temps, les escrocs ont exploité les plus récentes tendances ou technologies pour se remplir les poches, et ChatGPT n’y fait pas exception. Alors que l’IA et les chatbots suscitent un intérêt sans doute sans précédent, les utilisateurs se tournent vers l’App Store d’Apple et Google Play pour télécharger tout ce qui ressemble à ChatGPT. Or les applications de ce type – que Sophos appelle des « fleecewares » – sont en fait des escroqueries qui inondent souvent les utilisateurs de publicités jusqu’à ce qu’ils souscrivent un abonnement payant. Leurs auteurs misent sur le fait que les utilisateurs ne prêteront pas attention au coût ou oublieront tout simplement qu’ils ont souscrit cet abonnement. Ces applications sont spécialement conçues pour n’être pratiquement d’aucune utilité une fois passée la période d’essai gratuite, de sorte que les utilisateurs les suppriment sans avoir conscience qu’ils demeurent engagés pour un paiement mensuel ou hebdomadaire », explique Sean Gallagher, chercheur principal en menaces chez Sophos.

Au total, Sophos X-Ops a étudié cinq de ces fleecewares, dont tous prétendaient utiliser l’algorithme de ChatGPT. Dans certains cas, à l’exemple de l’application « Chat GBT », les développeurs jouent sur la proximité avec le nom ChatGPT pour améliorer leur classement sur Google Play ou l’App Store. Alors qu’OpenAI offre gratuitement aux internautes les fonctionnalités de base de ChatGPT, ces applications les facturent de 10 $ par mois à 70 $ par an. La version iOS de « Chat GBT », dénommée Ask AI Assistant, facture 6 $ par semaine – ou 312 $ par an – au terme de trois jours d’essai gratuit, ce qui a rapporté à ses auteurs 10 000 $ durant le seul mois de mars. Un autre fleeceware, appelé Genie, incite les utilisateurs à s’abonner pour 7 $ par semaine ou 70 $ par an, soit un gain de 1 million de dollars le mois dernier.

Les principales caractéristiques de ces fleecewares, initialement découverts par Sophos en 2019, consistent à surfacturer les utilisateurs pour des fonctionnalités déjà disponibles gratuitement par ailleurs, ainsi qu’à faire appel à des tactiques d’ingénierie sociale et de coercition pour convaincre ceux-ci de souscrire un abonnement payant. En général, ces applications proposent un essai gratuit, mais assorti d’un très grand nombre de publicités et de restrictions, si bien qu’elles ne sont guère utiles en l’absence d’abonnement. Elles sont souvent piètrement écrites et réalisées, par conséquent leurs fonctionnalités sont loin d’être idéales même en version payante. En outre, elles améliorent artificiellement leurs notes sur les app stores grâce à de faux avis et à des demandes répétées aux utilisateurs de noter l’application avant même de l’avoir utilisée ou d’avoir terminé l’essai gratuit.

« Les fleecewares sont spécialement conçus pour rester à la limite de ce qui est permis par les services de Google et d’Apple, prenant soin de ne pas violer les règles de sécurité ou de protection de la vie privée, de sorte qu’elles ne sont pratiquement jamais bannies de ces boutiques en ligne. Si Google et Apple appliquent de nouvelles règles pour lutter contre les fleecewares depuis notre signalement en 2019, les développeurs trouvent cependant des moyens de les contourner, par exemple en limitant sérieusement l’utilisation et les fonctionnalités des applications dans leur version gratuite. Alors que certains des fleecewares ChatGPT étudiés dans ce rapport ont déjà été neutralisés, d’autres ne cessent d’apparaître et cela va vraisemblablement continuer. La meilleure protection réside dans la sensibilisation. Les utilisateurs doivent être conscients de l’existence de ces applications et toujours veiller à lire attentivement les petits caractères avant de s’abonner. Ils peuvent également signaler à Apple et Google les applications dont ils pensent que leurs auteurs en tirent indûment profit », ajoute Sean Gallagher.

Toutes les applications figurant dans cette étude ont été signalées à Apple et Google. Les utilisateurs qui les ont déjà téléchargées doivent suivre les instructions de l’App Store ou de Google Play pour s’en désabonner, car il ne suffit pas de supprimer un fleeceware pour résilier l’abonnement.

Pour en savoir plus sur ces fausses applications ChatGPT et la façon de s’en prémunir, lire l’étude FleeceGP Mobile Apps Target IA-Curious to Rake in Cash sur Sophos.com.

Pour en savoir plus sur…

À propos de Sophos

Sophos est un leader mondial et un innovateur dans le domaine des solutions de cybersécurité avancées, qui comprend des services managés de détection et réponse (MDR) et de réponse aux incidents, ainsi qu’un vaste portefeuille de technologies de sécurité qui protègent les systèmes endpoint, les réseaux, les messageries et le Cloud contre les cyberattaques. Sophos est l’un des plus grands fournisseurs de cybersécurité et protège aujourd’hui plus de 500 000 entreprises et plus de 100 millions d’utilisateurs dans le monde contre les adversaires actifs, les ransomwares, le phishing, les malwares, etc. Les services et produits de Sophos sont connectés à travers sa console d’administration Sophos Central basée dans le Cloud et sont alimentés par Sophos X-Ops, l’unité de renseignement sur les menaces transversale de la société. L’intelligence de Sophos X-Ops optimise l’ensemble de l’écosystème de cybersécurité adaptatif (ACE) de Sophos, qui comprend un datalake centralisé exploitant un ensemble riche d’API ouvertes à destination des clients, des partenaires, des développeurs et des autres fournisseurs de cybersécurité et de technologies de l’information. Sophos fournit des services de cybersécurité aux entreprises qui ont besoin de solutions de sécurité clés en main et entièrement gérées. Les clients peuvent également gérer leur cybersécurité directement avec la plateforme d’opérations de sécurité de Sophos ou utiliser une approche hybride en complétant leurs équipes internes avec les services de Sophos, notamment la chasse aux menaces et la remédiation. Sophos vend ses produits par l’intermédiaire d’un réseau mondial de partenaires et de fournisseurs de services gérés (MSP : Managed Service Provider). Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur www.sophos.fr.