« De tout temps, les escrocs ont exploité les plus récentes tendances ou technologies pour se remplir les poches, et ChatGPT n’y fait pas exception. Alors que l’IA et les chatbots suscitent un intérêt sans doute sans précédent, les utilisateurs se tournent vers l’App Store d’Apple et Google Play pour télécharger tout ce qui ressemble à ChatGPT. Or les applications de ce type – que Sophos appelle des « fleecewares » – sont en fait des escroqueries qui inondent souvent les utilisateurs de publicités jusqu’à ce qu’ils souscrivent un abonnement payant. Leurs auteurs misent sur le fait que les utilisateurs ne prêteront pas attention au coût ou oublieront tout simplement qu’ils ont souscrit cet abonnement. Ces applications sont spécialement conçues pour n’être pratiquement d’aucune utilité une fois passée la période d’essai gratuite, de sorte que les utilisateurs les suppriment sans avoir conscience qu’ils demeurent engagés pour un paiement mensuel ou hebdomadaire », explique Sean Gallagher, chercheur principal en menaces chez Sophos.

Au total, Sophos X-Ops a étudié cinq de ces fleecewares, dont tous prétendaient utiliser l’algorithme de ChatGPT. Dans certains cas, à l’exemple de l’application « Chat GBT », les développeurs jouent sur la proximité avec le nom ChatGPT pour améliorer leur classement sur Google Play ou l’App Store. Alors qu’OpenAI offre gratuitement aux internautes les fonctionnalités de base de ChatGPT, ces applications les facturent de 10 $ par mois à 70 $ par an. La version iOS de « Chat GBT », dénommée Ask AI Assistant, facture 6 $ par semaine – ou 312 $ par an – au terme de trois jours d’essai gratuit, ce qui a rapporté à ses auteurs 10 000 $ durant le seul mois de mars. Un autre fleeceware, appelé Genie, incite les utilisateurs à s’abonner pour 7 $ par semaine ou 70 $ par an, soit un gain de 1 million de dollars le mois dernier.

Les principales caractéristiques de ces fleecewares, initialement découverts par Sophos en 2019, consistent à surfacturer les utilisateurs pour des fonctionnalités déjà disponibles gratuitement par ailleurs, ainsi qu’à faire appel à des tactiques d’ingénierie sociale et de coercition pour convaincre ceux-ci de souscrire un abonnement payant. En général, ces applications proposent un essai gratuit, mais assorti d’un très grand nombre de publicités et de restrictions, si bien qu’elles ne sont guère utiles en l’absence d’abonnement. Elles sont souvent piètrement écrites et réalisées, par conséquent leurs fonctionnalités sont loin d’être idéales même en version payante. En outre, elles améliorent artificiellement leurs notes sur les app stores grâce à de faux avis et à des demandes répétées aux utilisateurs de noter l’application avant même de l’avoir utilisée ou d’avoir terminé l’essai gratuit.

« Les fleecewares sont spécialement conçus pour rester à la limite de ce qui est permis par les services de Google et d’Apple, prenant soin de ne pas violer les règles de sécurité ou de protection de la vie privée, de sorte qu’elles ne sont pratiquement jamais bannies de ces boutiques en ligne. Si Google et Apple appliquent de nouvelles règles pour lutter contre les fleecewares depuis notre signalement en 2019, les développeurs trouvent cependant des moyens de les contourner, par exemple en limitant sérieusement l’utilisation et les fonctionnalités des applications dans leur version gratuite. Alors que certains des fleecewares ChatGPT étudiés dans ce rapport ont déjà été neutralisés, d’autres ne cessent d’apparaître et cela va vraisemblablement continuer. La meilleure protection réside dans la sensibilisation. Les utilisateurs doivent être conscients de l’existence de ces applications et toujours veiller à lire attentivement les petits caractères avant de s’abonner. Ils peuvent également signaler à Apple et Google les applications dont ils pensent que leurs auteurs en tirent indûment profit », ajoute Sean Gallagher.

Toutes les applications figurant dans cette étude ont été signalées à Apple et Google. Les utilisateurs qui les ont déjà téléchargées doivent suivre les instructions de l’App Store ou de Google Play pour s’en désabonner, car il ne suffit pas de supprimer un fleeceware pour résilier l’abonnement.