Le Snap Store, une plateforme de distribution d’applications Snap conteneurisées pour la distribution Linux Ubuntu, a récemment fait face à un problème majeur avec des téléchargements de fausses portefeuilles de crypto-monnaie. Ces téléchargements visent à voler les devises numériques des utilisateurs, compromettant ainsi leur sécurité. Pour résoudre ce problème, les ingénieurs de Canonical, la société mère d’Ubuntu, ont décidé de procéder à une revue manuelle de toutes les applications téléchargées sur le Snap Store avant de les rendre disponibles aux utilisateurs.
Cette décision fait suite aux signalements d’Alan Pope, ancien membre du personnel de Canonical/Ubuntu, qui a mis en évidence les risques liés à certaines applications du Snap Store. Dans un cas particulier, un investisseur en bitcoins a perdu neuf bitcoins (d’une valeur d’environ 490 000 $ à l’époque) en utilisant une application appelée « Exodus Wallet » qui n’était pas affiliée au véritable portefeuille de crypto-monnaie Exodus. L’application a immédiatement transféré l’intégralité du solde de l’utilisateur vers une adresse inconnue après l’entrée d’une phrase de récupération.
Bien que les investissements en crypto-monnaies comportent des risques inhérents, le Centre d’applications d’Ubuntu avait qualifié l’application « Exodus » de « sûre », ce qui a pu causer de la confusion parmi les utilisateurs. Ubuntu décrit ces applications comme « sûres à exécuter » en raison de leurs fonctionnalités de conteneurisation et de confinement en temps d’exécution, qui se mettent automatiquement à jour. Cependant, ce système de qualification peut être mal compris, notamment par les personnes peu familières avec Ubuntu, Snaps et Linux en général.
Pour répondre à ces préoccupations, Mark Shuttleworth, fondateur d’Ubuntu et PDG de Canonical, a reconnu la nécessité de mettre en place des mesures de sécurité supplémentaires. Bien qu’il ne soit pas en faveur d’une interdiction complète des applications de crypto-monnaie, il a insisté sur l’importance de rendre ces applications plus sûres pour les utilisateurs susceptibles de devenir victimes d’attaques d’ingénierie sociale.
En raison des combats constants contre les acteurs malveillants, Canonical a mis en place une nouvelle politique consistant à effectuer des revues manuelles pour toutes les nouvelles inscriptions sur Snap. Les équipes d’ingénierie vérifieront les noms et les intentions des applications en contactant les éditeurs. Toute application soupçonnée d’être malveillante ou liée aux portefeuilles de crypto-monnaie sera rejetée. De plus, Canonical travaille sur une politique visant à guider la publication appropriée des portefeuilles de crypto-monnaie dans le Snap Store.
Des changements similaires ont également été observés sur d’autres plateformes d’applications, telles que Flathub, qui signale désormais les applications qui apportent des modifications significatives aux demandes d’autorisation ou aux noms de paquets. Les dépôts de logiciels libres ont depuis longtemps du mal à faire face au problème des téléchargements malveillants qui se font passer pour des applications légitimes. Ces mesures de précaution visent à améliorer la sécurité des utilisateurs et à les protéger contre d’éventuelles arnaques.
Pour plus d’informations sur le Snap Store et les initiatives d’Ubuntu, visitez les sites web Snapcraft et Ubuntu.
Canonical n’a pas encore commenté ces développements récents, mais il est évident qu’elle travaille activement à l’amélioration des mesures de sécurité et à la protection des utilisateurs du Snap Store.