Des comptes iTunes encore piratés : y a-t-il une faille ?

MyTunes envolées 63
De nouveaux cas de piratage des comptes iTunes ont été détectés. Des centaines d’utilisateurs se plaignent que des achats ont été réalisés sans leur consentement. Les sommes utilisées ne sont pas titanesques, mais l’attitude d’Apple sur la correction du problème agace, car il ne s’agit pas de la première fois.

itunes kingdom

Un problème qui n'est pas nouveau

Dans les forums d’Apple, on trouve un nombre croissant de témoignages et réponses autour du problème de sécurité. Des comptes ont été piratés et utilisés pour procéder à des achats d’applications ainsi que de contenus In-App (donc pour une application déjà en place). Selon ces témoignages, les sommes prélevées vont de quelques dollars à environ 500. Dans tous les cas, Apple a rapidement procédé au blocage du compte, au changement du mot de passe ainsi qu’à la régularisation des sommes et à la coupure des autorisations des machines liées par le compte.

Le souci toutefois n’est pas tant dans la résolution du problème que dans la manière dont Apple communique ou, justement, ne communique pas. Plusieurs témoignages signalent en effet que la firme a régularisé très vite la situation tout en précisant bien qu’il s’agissait d’une exception à la politique de l’entreprise. Comme l’indique l’utilisatrice « Fiona », cette réponse donne l’impression que l’utilisateur a fauté mais qu’Apple veut bien passer pour cette fois. D’autant qu’elle correspond mot pour mot à celle donnée à « stereocourier » quand le sujet a été créé le 28 novembre 2010.

La communication quasi inexistante d'Apple

Plus d’un an après, les piratages se produisent de la même manière. Le comportement d’Apple n’a pas non plus changé d’un iota puisque la firme ne communique toujours pas avec précision. Elle règle les cas un par un et l’absence d’annonce sur un problème de sécurité se comprend aisément : elle attire l’attention de manière néfaste sur la société, le cas de Sony étant très parlant. Ce qui en réaction provoque une frustration chez les utilisateurs, même si le souci est réglé.

Interrogée plusieurs fois par les journalistes et récemment par The Global Mail, Apple n'a jamais souhaité répondre à ce sujet.

La théorie du complot...

La question de savoir comment le ou les pirates parviennent à se procurer les mots de passe demeure sans réponse. Les achats se produisent par contre de plusieurs manières. Le compte peut être directement utilisé quand le carte bancaire a été enregistrée, mais l’achat se réalise également depuis des cartes iTunes enregistrées (que l’on trouve dans de nombreux magasins) ou encore depuis des comptes PayPal.

Le schéma des attaques est à la fois clair et obscur. Les types sont pratiquement toujours les mêmes comme on l’a vu, et vient s’y ajouter parfois de la musique. Selon The Global Mail, les récurrences dans les cas de piratages laissent penser à des efforts coordonnés.

... et celles des jeunes un peu malins

D’autant que ces ressemblances relancent la polémique autour de Sega, puisque plusieurs jeux achetés viennent de l’éditeur, dont Kingdom Conquest qui avait défrayé la chronique en juin 2011. Or, les deux témoignages les plus récents sur les forums d’Apple (datés d’hier) concernent tous deux des achats In-App pour ce jeu. Ce qui pourrait laisser suggérer une méthode trouvée par des pirates relativement jeunes pour se payer rapidement du contenu dans les titres qui les intéressent.

Et ce pourrait être le cas notamment avec les cartes cadeau iTunes, le cas le plus récurrent dans les piratages. Le Global Mail a interrogé Ty Miller, directeur technique de la société de sécurité Pure Hacking (Australie). Selon lui, il existe deux hypothèses :
  • Soit le piratage de compte est un risque auquel Apple est préparée, d’où la résolution rapide dans la plupart des cas
  • Soit il existe un problème inhérent à l’infrastructure des codes des cartes cadeaux et la modifier casserait toute la compatibilité avec le système actuel

Prudence élémentaire

Dans tous les cas, nous ne répèterons jamais assez qu’il faut prendre un soin particulier sur le choix du mot de passe. Un constat d’autant plus vrai qu’un compte iTunes peut intégrer des données bancaires. Même si Apple peut guérir rapidement, il vaut mieux prévenir, car il peut arriver que la firme refuse de réparer.

En outre, un compte iTunes peut-être un compte MobileMe/iCloud. Le même mot de passe sert donc à ouvrir les portes de données personnelles tels que des courriers électroniques. Rappelons enfin que l’on peut créer un compte iTunes avec n’importe quelle adresse email mais que le mot de passe doit en être impérativement différent pour éviter les effets de cascades. 
Publiée le 10/02/2012 à 16:19 - Source : TGM
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €

Publicité