Attention, cela peut vous arriver à tout moment ! Lorsque vous repérez une application qui attire votre attention sur l’App Store et que vous décidez immédiatement de la télécharger pour l’utiliser… et paf, sans le savoir, vous offrez vos cryptos et vos mots de passe sur un plateau.
C’est exactement le scénario cauchemardesque qui a poussé Apple à supprimer 11 applications de l’App Store cette semaine. On vous explique tout, avec des conseils pour éviter de se faire avoir.
D’après les experts de Kaspersky, ces apps (ComeCome, WeTink, AnyGPT et consorts) cachaient un malware baptisé SparkCat. Son super-pouvoir ? Scanner vos photos grâce à la technologie OCR (reconnaissance de texte) pour dénicher des phrases de récupération de portefeuilles crypto, des mots de passe, ou même des screenshots de comptes bancaires.
Mais comment fonctionne l’arnaque ? Une fois que l’application est installée, elle demandait l’accès à votre bibliothèque photo (rien de suspect à première vue), et une fois le feu vert donné, SparkCat, le malware, fouillait toutes vos images à la recherche de termes clés comme « seed phrase », « private key » ou « password ». Les données sensibles étaient ensuite envoyées discrètement à un serveur pirate, probablement pour vider vos comptes.
Petite précision qui pique : Apple a également découvert 89 autres applications contenant le même code malveillant, déjà rejetées par le passé. Les comptes des développeurs impliqués ont été fermés.
Ces applications semblaient légitimes, voire utiles (un générateur de GIF, une application de traduction…). Mais comme le souligne Kaspersky, 80 % des malwares mobiles en 2023 se cachaient dans des applications « banales », selon un rapport de Symantec. Les pirates misent sur la curiosité ou l’urgence, alors faites attention aux messages accrocheurs du type « Téléchargez maintenant pour obtenir un accès exclusif ! », car ils peuvent tromper votre vigilance.
Et pour finir, voici quelques gestes qui sauvent vos Photos et votre Argent :
- Ne donnez jamais l’accès complet à votre galerie : Depuis iOS 14, vous pouvez limiter l’accès à « Photos sélectionnées » seulement. Un réflexe en or.
- Checkez le App Privacy Report (Réglages > Confidentialité) : Vous verrez combien de fois Instagram a accédé à votre caméra cette semaine… et si une app douteuse fait des selfies sans vous.
- Les screenshots, c’est NON : Évitez de stocker vos clés crypto ou mots de passe en photo. Préférez un gestionnaire de mots de passe chiffré (Bitwarden, 1Password, LastPass…).
SparkCat est un rappel que même sur iPhone, la prudence reste mère de sûreté. Alors, on respire, on vérifie ses autorisations… et on garde ses trucs importants loin des screenshots !
