Votre version piratée de Pokémon Go cache peut-être un cheval de Troie

Une des versions non officielles de Pokémon Go pour Android contient un malware, DroidJack, qui permet de prendre le contrôle de votre téléphone à distance.

1467969766-3616-jaquette-avant

Évidemment, vous n'alliez pas attendre sagement que Pokémon Go sorte en France alors même que tous vos potes, en train d'attraper des Roucool à tire-larigot sur leurs versions pirates, ont l'air d'être de retour au CM2. Vous avez fait comme tout le monde, en suivant les tutos des sites d'info – qui, pour une fois, n'ont pas eu de souci à insérer dans leurs papiers des liens vers des contenus pirates (on vous a vus, mais nom de nom, c'est pour la bonne cause) : vous vous êtes rendus sur l'une de ces banques d'applications pirates pour Android en ligne, puis vous avez tranquillement téléchargé le fichier APK du jeu. Et voilà. Paf. Deux minutes plus tard, vous pouviez vous aussi ricaner bêtement en tombant nez-à-nez avec un Ratatat entre deux poubelles. Et si on vous disait que votre appli hébergeait un cheval de Troie?

Révélée par l'entreprise de sécurité Proofpoint, l'information est reprise par Numerama, qui détaille également les solutions pour se prémunir contre l'intrusion. Car DroidJack est une belle saloperie, découverte par Symantec en 2014, qui permet à celui qui le maîtrise de prendre le contrôle de votre téléphone et d'y récupérer à peu près tout ce qu'il veut. Heureusement, rappelle Numerama, détecter le malware est relativement simple, et requiert finalement plus de bon sens que de connaissances informatiques.

Il suffit en effet d'aller jeter un œil du côté des autorisations que vous avez données à votre Pokémon Go lors de son installation – mais si, le truc sur lequel vous avez cliqué "Accepter" tout en réfléchissant déjà à votre nom de dresseur Pokémon badass –, et de la confronter à la version originale. Même en cherchant bien, il n'y a aucune raison pour que Pokémon Go souhaite avoir accès à tous vos contacts, puisse lire, modifier et envoyer des textos ou encore enregistrer audio et vidéo sans vous prévenir. Si jamais vous avez encore des doutes car cet article vous a rendu parano, Proofpoint met à disposition la clé alphanumérique SHA-2 de l'application officielle pour la comparer avec la vôtre.

Nintendo et l'erreur du débutant

Difficile, voire impossible, de connaître le nombre d'utilisateurs hébergeant le cheval de Troie. Mais sachant qu'en cinq jours, la hype Pokémon Go a déferlé sur le monde et a déjà à moitié étouffé les Internets alors même que l'appli n'est disponible qu'aux États-Unis, en Australie et en Nouvelle-Zélande, on ne peut qu'imaginer les dégâts. Et si, aujourd'hui, le succès d'une application mobile s'accompagne quasi inévitablement de l'émergence d'ersatz vérolés, le scénario est tout à fait différent dans le cas de Pokémon, et la responsabilité en revient (en partie) à Nintendo.

Car si l'entreprise japonaise excelle dans la distribution de licences et matériels propriétaires, c'est la première fois qu'elle s'attaque au marché du mobile. Le studio qui développe l'appli, Niantic, est également jeune, bien qu'auréolé du succès de l'application en réalité augmentée Ingress (sur laquelle l'architecture de Pokémon Go se base). Et la décision de sortir l'application progressivement, par zone géographique, avec une date différée en Europe, est une aubaine formidable pour les hackers, qui voient leurs versions piratées devenir d'autant plus précieuses en phase de "pénurie d'appli" (un concept inédit jusqu'alors), et du coup d'autant plus téléchargées.

À Londres, à Paris ou à Madrid, tout le monde a déjà l'application, n'en déplaise à Nintendo. Le marché mobile carbure à l'instantanéité, et l'entreprise japonaise n'a pas voulu – ou su – s'adapter à cette contrainte inhabituelle. Cette négligence aura malheureusement des conséquences très concrètes pour Les utilisateurs, qui voulaient simplement attraper des Pokémon tranquilles.

Science, tech, culture numérique et galéjades. Internet est mon église.