Sécurité : des comptes iTunes piratés via le système in-App ?

Un nombre croissant de témoignages évoque un problème qui envahit peu à peu les utilisateurs d’iTunes. Un piratage semble bel et bien exister, des dizaines de personnes ayant constaté des débits frauduleux sur leurs comptes Apple. Historique et état des lieux.

itunes 

Kingdom Conquest et le début des constats

Ed Oswald, rédacteur chez Betanews, signale le 2 juin un problème avec son compte iTunes. En consultant ses emails, il remarque une facture lui annonçant que son compte PayPal a été utilisé pour l’achat de 95,30 dollars de contenu in-App pour le jeu Kingdom Conquest. Problème : il ne possède pas ce jeu. La facture totalise plusieurs lignes tarifées 8,99 dollars, et Oswald s’empresse d’aller faire le ménage dans son compte, jusqu’à couper tout lien entre iTunes et PayPal.

itunes 

Il se rend alors sur la page du jeu Kingdom Conquest et remarque alors que des dizaines de commentaires existent déjà pour soulever le problème, et que beaucoup datent d’une période autour du 20 mai. La plupart de ces commentaires signalement des débits de l’ordre de 43 dollars, mais le montant varie beaucoup d’un individu à un autre. On remarque également à la lecture de certains que l’application elle-même n’a jamais été téléchargée : seule la possession d’un compte iTunes semble être le dénominateur commun.

itunes 

Oswald demande alors à Sega, éditeur du jeu, et Apple de répondre devant le problème. Aucune des deux sociétés ne fournit d’explications, mais un administrateur des forums de Sega répond dans un sujet :

« Il semble bien que votre compte iTunes ait été volé et soit utilisé par quelqu’un d’autre pour acheter du contenu dans ce jeu. […] Permettez-moi d’indiquer que Sega et Kingdom Conquest n’agissent pas de manière malveillante. Il n’est en aucun cas possible pour ce jeu de facture un compte iTunes sans que l’application ne soit installée, que des identifiants iTunes valides soient utilisés et qu’une action d’achat soit entreprise. Le jeu et ses serveurs ne stockent pas les identifiants iTunes et n’autorise pas non plus une facture automatique ou cyclique. »

Le problème s’étend

Difficile d’imaginer que Sega se serait livré à ce type de manipulation, car il est impossible de masquer un vol à cette échelle puisque les emails de facturation sont envoyés aux utilisateurs et que la réputation d’un éditeur peut s’écrouler d’un jour à l’autre. Le problème existe pourtant bel et bien, alors à qui la faute ?

Dans un autre article, Ed Oswald signale que plusieurs commentaires clament que leurs données bancaires ont été supprimées de leurs comptes iTunes. Pour lui, la seule explication est qu’Apple est au courant des attaques qui sont menées et s’empresse de couper toute possibilité de paiement sur les comptes touchés, afin que le problème ne se présente plus.

Mais le problème s’est étendu. Dans un troisième article, on apprend que non seulement les utilisateurs touchés proviennent de plusieurs pays, mais que Kingdom Conquest n’est plus le seul jeu à servir de vecteur d’attaque. World War et Texas Poker sont cités. Et rien ne permet d’affirmer que la liste ne va pas s'étendre.

Oswald suggère un autre dénominateur commun : le système d’achats in-App lui-même. Déjà pointé du doigt pour la facilité avec laquelle on peut dépenser des sommes conséquentes sans demande de mots de passe (problème corrigé avec iOS 4.3), il présenterait une faille permettant à des pirates de profiter de ces achats intégrés.

Plusieurs témoignages vont dans ce sens, des utilisateurs indiquant avoir signalé le problème à Apple et obtenu rapidement un remboursement des sommes débitées. Nous cherchons actuellement à contacter la firme à ce sujet, mais elle est restée pour l’instant sourde aux demandes de nos confrères. Dans tous les cas, nous vous conseillons de surveiller l'arrivée éventuelle d'emails de facturation douteux.

Le possible manque de sécurité sur le compte iTunes pourrait créer en outre une inquiétude sur la capacité de la pomme à protéger ses utilisateurs. Apple a certainement peu envie qu’un tel problème vienne entacher sa réputation alors même qu’un nouveau bouquet de services en ligne, iCloud, est en préparation.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !