La série noire continue pour Apple. La firme qui est actuellement sous le feu de diverses polémiques, fait à nouveau les titres. En cause cette fois-ci : une faille de sécurité dans iTunes (son application de vente de musique), qui a mené au vol de plusieurs milliers de dollars sur les comptes bancaires d'utilisateurs américains du service.
Pourtant, la firme à la pomme avait annoncé en juillet un renforcement sérieux de la sécurité de la plateforme de sa boutique en ligne, suite aux actions malveillantes d'un développeur qui avait piraté des comptes iTunes pour faire ses emplettes aux frais des abonnés.
Malheureusement il semble que les modifications apportées par Apple n'aient pas suffit. Et pourtant, la méthode utilisée serait simple et surtout déjà connue : il s'agirait de phishing ou d'attaque par force brute sur les mots de passe (visiblement protégés de manière insuffisante, et pas assez complexes en eux-mêmes). Et comme avec iTunes, les comptes des utilisateurs sont liés à leurs comptes PayPal...
Un internaute a ainsi vu 4700 dollars (environ 3700 euros) être retirés de son compte bancaire, pour 47 achats à 100 $ qu'il n'avait évidemment pas faits lui-même.
Heureusement pour lui, et pour les autres victimes, PayPal reconnaît le caractère frauduleux de ces opérations et procède au remboursement des sommes ainsi volées. Le site de paiement en ligne communique néanmoins en clamant haut et fort que la faille vient de la boutique d'Apple, et non pas de son propre site.
Apple serait en train d'élaborer un correctif au problème, mais sans en donner de date de sortie ni plus d'explications techniques sur la faille (qui serait toujours là).
« En marge des autres mesures de sécurité qui doivent être prises, iTunes demande désormais un changement plus fréquent du code de sécurité des cartes bleues. Mais si votre carte de crédit ou votre mot de passe iTunes est volé et/ou utilisé, nous vous conseillons de vous adresser directement à votre banque pour faire opposition. Nous vous recommandons également de changer votre mot de passe immédiatement », explique un porte-parole de la firme.
Visiblement, les sommes volées ne seraient pas des plus discrètes, puisque les victimes évoquent dans la majorité des cas des ponctions de plusieurs centaines voir milliers de dollars.
Cependant, un proche d'Apple souhaitant conserver l'anonymat déclare qu'iTunes est hors de cause et que le problème vient de phishing ou de vol de mot de passe réalisé en amont.
Oui, mais quand bien même, le problème vient surtout du fait que les comptes PayPal des consommateurs américains sont liés à leurs comptes iTunes....
Une affaire à suivre.
Source : Déclarations du porte-parole d'Apple
Pensez-vous que le problème vienne d'iTunes ou de phishing en amont ? En cas de faille sur iTunes, pourrait-elle être liée aux vulnérabilités liées aux DLL que Microsoft vient de dévoiler ? 
Envoyé par simonlourson
