Des développeurs peu scrupuleux profitent de l’engouement pour les chatbots IA pour tromper les gens avec leur argent durement gagné, et ça marche.
Les chercheurs en cybersécurité de Sophos ont analysé les magasins d’applications mobiles de Google et d’Apple et ont trouvé plusieurs fausses applications ChatGPT qui, par des pratiques douteuses, ont forcé les utilisateurs à s’abonner à un service.
Un de ces développeurs a « gagné » plus d’un million de dollars en un mois, à lui seul.
Paiement à sept chiffres
Bien que les applications ne soient pas particulièrement dommageables ou malveillantes dans le sens où elles détruiront l’appareil ou voleront des informations, elles essaieront de faire payer les victimes. Les applications prétendent offrir la fonctionnalité de ChatGPT (qui est essentiellement un chatbot alimenté par l’IA) et offrent un essai gratuit (ou un modèle gratuit avec des publicités) et un modèle d’abonnement payant. Le modèle gratuit/annonces est soit fortement limité (disponible pendant trois jours, par exemple) ou est livré avec tellement de popups publicitaires et de distractions qu’il est tout simplement inutilisable.
Le modèle payant varie de 10 $ par mois à 300 $ + par an. Jusqu’à présent, certains développeurs ont gagné 10 000 $ en mars. D’autres ont récolté plus d’un million dans le même laps de temps.
Le pire, c’est que ChatGPT est gratuit et accessible via ce lien. Les applications, d’autre part, sont souvent mal écrites et implémentées encore pire, ce qui signifie que les applications ne fonctionnent parfois même pas comme prévu, que l’utilisateur ait payé ou non la version premium.
Selon les chercheurs de Sophos, l’astuce consiste à amener les gens à s’abonner au service, puis à oublier qu’ils se sont abonnés ou à penser qu’ils peuvent se désabonner en désinstallant simplement l’application. La falsification des avis et des commentaires sur les applications, ainsi que le gonflement du nombre de téléchargements, font également partie de la tromperie.
Jusqu’à présent, Sophos a trouvé cinq applications de ce type, à la fois sur le Play Store et l’App Store, et les a signalées à leurs propriétaires respectifs. Les utilisateurs qui ont déjà téléchargé de telles applications doivent suivre les directives de leurs fournisseurs sur la façon de s’abonner, car la simple suppression de l’application n’annulera pas l’abonnement.
« Les escrocs utilisent et utiliseront toujours les dernières tendances ou technologies pour se remplir les poches. ChatGPT ne fait pas exception », a déclaré Sean Gallagher, chercheur principal sur les menaces chez Sophos.
« L’intérêt pour l’IA et les chatbots étant sans doute à son plus haut niveau, les utilisateurs se tournent vers l’application Apple et Google Play Stores pour télécharger tout ce qui ressemble à ChatGPT. Ces types d’applications frauduleuses – ce que Sophos a surnommé « fleeceware » – bombardent souvent les utilisateurs avec des publicités jusqu’à ce qu’ils souscrivent à un abonnement. Ils misent sur le fait que les utilisateurs ne feront pas attention au coût ou oublieront simplement qu’ils ont cet abonnement. Ils sont spécialement conçus pour ne pas être beaucoup utilisés après l’essai gratuit se termine, les utilisateurs suppriment donc l’application sans se rendre compte qu’ils doivent encore payer un paiement mensuel ou hebdomadaire. »