Ces applications – appelées des fleecewares – exploitent des failles dans la politique des app stores ainsi que des tactiques coercitives pour surfacturer l’utilisation d’assistants IA
Sophos, un leader mondial de la cybersécurité innovante « as a Service », annonce avoir découvert plusieurs applications qui se font passer pour des chatbots légitimes reposant sur ChatGPT afin de surfacturer les utilisateurs et d’engranger des milliers de dollars par mois. Comme le détaille le dernier rapport de Sophos X-Ops intitulé FleeceGP Mobile Apps Target IA-Curious to Rake in Cash, ces applications ont fait leur apparition à la fois sur Google Play et sur l’App Store d’Apple. Les versions gratuites étant quasiment dépourvues de fonctionnalités et truffées de publicités, elles contraignent des utilisateurs sans méfiance à souscrire un abonnement qui peut leur coûter plusieurs centaines de dollars par an.
« De tout temps, les escrocs ont exploité les plus récentes tendances ou technologies pour se remplir les poches, et ChatGPT n’y fait pas exception. Alors que l’IA et les chatbots suscitent un intérêt sans doute sans précédent, les utilisateurs se tournent vers l’App Store d’Apple et Google Play pour télécharger tout ce qui ressemble à ChatGPT. Or les applications de ce type – que Sophos appelle des « fleecewares » – sont en fait des escroqueries qui inondent souvent les utilisateurs de publicités jusqu’à ce qu’ils souscrivent un abonnement payant. Leurs auteurs misent sur le fait que les utilisateurs ne prêteront pas attention au coût ou oublieront tout simplement qu’ils ont souscrit cet abonnement. Ces applications sont spécialement conçues pour n’être pratiquement d’aucune utilité une fois passée la période d’essai gratuite, de sorte que les utilisateurs les suppriment sans avoir conscience qu’ils demeurent engagés pour un paiement mensuel ou hebdomadaire », explique Sean Gallagher, chercheur principal en menaces chez Sophos.
Au total, Sophos X-Ops a étudié cinq de ces fleecewares, dont tous prétendaient utiliser l’algorithme de ChatGPT. Dans certains cas, à l’exemple de l’application « Chat GBT », les développeurs jouent sur la proximité avec le nom ChatGPT pour améliorer leur classement sur Google Play ou l’App Store. Alors qu’OpenAI offre gratuitement aux internautes les fonctionnalités de base de ChatGPT, ces applications les facturent de 10 $ par mois à 70 $ par an. La version iOS de « Chat GBT », dénommée Ask AI Assistant, facture 6 $ par semaine – ou 312 $ par an – au terme de trois jours d’essai gratuit, ce qui a rapporté à ses auteurs 10 000 $ durant le seul mois de mars. Un autre fleeceware, appelé Genie, incite les utilisateurs à s’abonner pour 7 $ par semaine ou 70 $ par an, soit un gain de 1 million de dollars le mois dernier.
Les principales caractéristiques de ces fleecewares, initialement découverts par Sophos en 2019, consistent à surfacturer les utilisateurs pour des fonctionnalités déjà disponibles gratuitement par ailleurs, ainsi qu’à faire appel à des tactiques d’ingénierie sociale et de coercition pour convaincre ceux-ci de souscrire un abonnement payant. En général, ces applications proposent un essai gratuit, mais assorti d’un très grand nombre de publicités et de restrictions, si bien qu’elles ne sont guère utiles en l’absence d’abonnement. Elles sont souvent piètrement écrites et réalisées, par conséquent leurs fonctionnalités sont loin d’être idéales même en version payante. En outre, elles améliorent artificiellement leurs notes sur les app stores grâce à de faux avis et à des demandes répétées aux utilisateurs de noter l’application avant même de l’avoir utilisée ou d’avoir terminé l’essai gratuit.
« Les fleecewares sont spécialement conçus pour rester à la limite de ce qui est permis par les services de Google et d’Apple, prenant soin de ne pas violer les règles de sécurité ou de protection de la vie privée, de sorte qu’elles ne sont pratiquement jamais bannies de ces boutiques en ligne. Si Google et Apple appliquent de nouvelles règles pour lutter contre les fleecewares depuis notre signalement en 2019, les développeurs trouvent cependant des moyens de les contourner, par exemple en limitant sérieusement l’utilisation et les fonctionnalités des applications dans leur version gratuite. Alors que certains des fleecewares ChatGPT étudiés dans ce rapport ont déjà été neutralisés, d’autres ne cessent d’apparaître et cela va vraisemblablement continuer. La meilleure protection réside dans la sensibilisation. Les utilisateurs doivent être conscients de l’existence de ces applications et toujours veiller à lire attentivement les petits caractères avant de s’abonner. Ils peuvent également signaler à Apple et Google les applications dont ils pensent que leurs auteurs en tirent indûment profit », ajoute Sean Gallagher.
Toutes les applications figurant dans cette étude ont été signalées à Apple et Google. Les utilisateurs qui les ont déjà téléchargées doivent suivre les instructions de l’App Store ou de Google Play pour s’en désabonner, car il ne suffit pas de supprimer un fleeceware pour résilier l’abonnement.
Pour en savoir plus sur ces fausses applications ChatGPT et la façon de s’en prémunir, lire l’étude FleeceGP Mobile Apps Target IA-Curious to Rake in Cash sur Sophos.com.
Pour en savoir plus sur…
- les fleecewares sur Google Play et l’App Store d'Apple.
- l’utilisation de ChatGPT à bon escient pour contrer les cyberattaquants, voir GPT for you and me: Applying AI language processing to cyber defenses.
- les comportements, techniques et tactiques des cyberattaquants, lisez l’étude 2023 Active Adversary Report for Business Leaders, reposant sur l’analyse de cas de réponse aux incidents par Sophos.
- l’évolution du paysage des menaces et les tendances susceptibles d’avoir un impact sur la cybersécurité, lisez le Rapport Sophos 2023 sur les menaces.
- Sophos X-Ops et ses recherches innovantes sur les menaces, abonnez-vous aux blogs Sophos X-Ops.