Une app du Google Play Store a le logo et le nom de WeTransfer, mais n’appartient pas à WeTransfer. Et pour cause : c’est une fausse app, avec laquelle les développeurs espèrent récolter des revenus publicitaire en ursurpant l’identité du service de transfert de fichier.

Avez-vous déjà utilisé WeTransfer ? C’est un service très pratique, qui permet d’envoyer gratuitement jusqu’à 2 gigaoctets de fichiers par Internet, là où la majorité des services d’email refusent les pièces jointes trop volumineuses. 50 millions d’utilisateurs utilisent WeTransfer chaque mois, pour un total de plus de 1,5 milliard de téléchargements d’après l’entreprise.

Seulement, WeTransfer ne se décline pas sous forme d’app sur smartphone. Les développeurs du service ont sorti une app nommée Collect, qui permet de stocker et d’organiser de nombreux fichiers, mais elle ne remplit pas la fonction de transfert de fichier historique de l’entreprise.

Face à ce constat, des escrocs ont vu qu’une place était à prendre. Cherchez « WeTransfer » sur le Google Play Store, et vous trouverez, en deuxième résultat après Collect, l’app « WeTransfer- Android File Transfer ». Créé par « Android Dev Transfer », le programme affiche le logo officiel de WeTransfer et compte plus de 10 000 téléchargements. Mais quelque chose n’est pas net : l’app n’est notée que 1,7/5 par les utilisateurs, qui se plaignent abondamment en commentaires.

Image d'erreur

L’app a le nom de WeTransfer, elle a le logo de WeTransfer, mais elle n’est pas WeTransfer. // Source : Numerama, remerciement à Paul.

Paul* fait partie des personnes qui ont téléchargé l’outil. À peine l’app ouverte, il a découvert la supercherie. « L’app est littéralement remplie de publicités : en haut, en bas, au milieu ! Et puis, il n’y a aucune fonctionnalité  », écrit-il à Cyberguerre, tout en s’interrogeant : « Je ne sais pas si elle est malveillante, ou si le développeur veut juste se faire de l’argent avec les publicités ».

Contacté par Cyberguerre, Grégoire Martin, spécialiste en fraude publicitaire chez Evina, a fait analyser l’app avec ses équipes, et il tranche sans hésitation : « l’app ne sert qu’à faire de la fraude publicitaire. Pour l’utilisateur final, il n’y a pas de danger. Il s’agit juste d’une app inutile ». En revanche, pour les entreprises affichées sur les publicités, elle pose problème.

Des pubs, des pubs, et du Wi-Fi

Le faux WeTransfer ne contient donc pas de malware — c’est-à-dire de fonctionnalité malveillante — ce qui pourrait expliquer en partie comment il est parvenu à se faufiler au-delà des protections de Google. Sa page d’accueil est d’ailleurs particulièrement sobre : un fin bandeau publicitaire en haut de l’écran, un autre plus épais en bas, et deux gros boutons au milieu. Le premier, « how to use » (comment utiliser) déclenche une publicité en plein écran. Le second, « start » (démarrer), déclenche une publicité, puis active le Wi-Fi.

Image d'erreur

C’est un peu surchargé en publicités, non ? // Source : Numerama, remerciement à Paul.

« Il y a très peu de choses dans le code à part ces faux appels à cliquer, qui déclenchent des publicités. L’app a sûrement été développée en à peine une heure », résume Grégoire Martin. Il note tout de même que l’activation du Wi-Fi n’est pas anodine : « Certaines campagnes de publicité ne marchent pas en 3G ou en 4G  ». Le Wi-Fi permet donc aux malfaiteurs de ne passer à côté d’aucune opportunité de gagner plus d’argent.

La majorité des publicités sur l’app frauduleuse renvoient vers des marques inconnues. Mais certaines campagnes de marques plus connues s’affichent aussi, comme la néobanque Qonto, le site d’e-commerce chinois Wish ou le vendeur de vêtements Boohoo.

« Environ 25% de la publicité digitale est faussée »

C’est à ces entreprises, plus qu’à l’utilisateur, que la fausse application cause des dommages. « Ce n’est pas du faux trafic à proprement parler, puisque les clics et les impressions ne sont pas inventés. Mais c’est de la fraude dans le sens où il n’y a aucun engagement des utilisateurs », développe le spécialiste d’Evina. Ce manque d’engagement rend la campagne de publicité inutile, puisqu’il est extrêmement peu probable que les utilisateurs achètent des vêtements Boohoo ou ouvrent un compte chez Qonto après leur expérience avec l’app. Les « impressions » publicitaires ne seront pas converties en gains pour l’annonceur.

Ces entreprises auront donc payé pour être mises en avant, sans retour. Une mésaventure très courante, d’après Grégoire Martin : « Sur un budget publicitaire en ligne de 10 000 euros, on estime qu’environ 25 % de la publicité va être faussée, et donc que l’entreprise dépense 2 500 euros pour rien. »

Combien les malfaiteurs ont-ils gagné ?

Vous vous demandez sûrement combien d’argent cette entourloupe a déjà rapporté aux escrocs. Sur ce point, Grégoire se montre plus prudent : « C’est très compliqué à estimer, car on ne connait pas le nombre de clics ou d’impressions des publicités, et combien de ces clics ont été payés. Mais vu le nombre de téléchargements, on peut suggérer que leur gain se compte au moins en centaines d’euros.  »

Face à cette fraude, les entreprises ne sont pas sans défense : elles peuvent demander par exemple à savoir d’où vient chaque clic sur leurs publicités ou savoir où sont publiées leurs annonces. Mais elles n’ont pas forcément le temps de passer ces sources au peigne fin. C’est pourquoi, dans le cas du faux WeTransfer, l’usurpation d’identité est un véritable atout : en voyant le nom WeTransfer dans les sources de trafic d’utilisateurs sur leurs publicités, les entreprises se diront qu’il provient d’une application légitime. Elles ne le bloqueront pas, et les malfaiteurs récolteront une part du budget publicitaire.

Image d'erreur

L’app prétend fonctionner, mais elle ne fait qu’afficher de la publicité. // Source : Numerama, remerciement à Paul.

Pour dégager des revenus, les escrocs doivent parvenir à passer outre les protections de Google, celles d’un éventuel service spécialisé, et une potentielle curation à la main. Mais le coût de mise en place de l’arnaque est négligeable.

Signalé le 8 août pour « imitation », le faux WeTransfer était encore en ligne le 11 août en début d’après-midi. Également prévenu, le vrai WeTransfer a répondu le 10 août qu’il allait faire supprimer l’application. Le profil du développeur devrait également être banni, mais il ne compte que cette app dans son portefeuille.

*Le nom a été changé. 

Nouveauté : Découvrez

La meilleure expérience de Numerama, sans publicité,
+ riche, + zen, + exclusive.

Découvrez Numerama+

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !