Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Une faille dans iTunes serait exploitée pour voler de l'argent via PayPal
Puisque les comptes des 2 services sont liés

Le , par Katleen Erna

0PARTAGES

1  1 
Une faille dans iTunes serait exploitée par des pirates pour voler de l'argent via PayPal, puisque les comptes des 2 services sont liés

La série noire continue pour Apple. La firme qui est actuellement sous le feu de diverses polémiques, fait à nouveau les titres. En cause cette fois-ci : une faille de sécurité dans iTunes (son application de vente de musique), qui a mené au vol de plusieurs milliers de dollars sur les comptes bancaires d'utilisateurs américains du service.

Pourtant, la firme à la pomme avait annoncé en juillet un renforcement sérieux de la sécurité de la plateforme de sa boutique en ligne, suite aux actions malveillantes d'un développeur qui avait piraté des comptes iTunes pour faire ses emplettes aux frais des abonnés.

Malheureusement il semble que les modifications apportées par Apple n'aient pas suffit. Et pourtant, la méthode utilisée serait simple et surtout déjà connue : il s'agirait de phishing ou d'attaque par force brute sur les mots de passe (visiblement protégés de manière insuffisante, et pas assez complexes en eux-mêmes). Et comme avec iTunes, les comptes des utilisateurs sont liés à leurs comptes PayPal...

Un internaute a ainsi vu 4700 dollars (environ 3700 euros) être retirés de son compte bancaire, pour 47 achats à 100 $ qu'il n'avait évidemment pas faits lui-même.

Heureusement pour lui, et pour les autres victimes, PayPal reconnaît le caractère frauduleux de ces opérations et procède au remboursement des sommes ainsi volées. Le site de paiement en ligne communique néanmoins en clamant haut et fort que la faille vient de la boutique d'Apple, et non pas de son propre site.

Apple serait en train d'élaborer un correctif au problème, mais sans en donner de date de sortie ni plus d'explications techniques sur la faille (qui serait toujours là).

« En marge des autres mesures de sécurité qui doivent être prises, iTunes demande désormais un changement plus fréquent du code de sécurité des cartes bleues. Mais si votre carte de crédit ou votre mot de passe iTunes est volé et/ou utilisé, nous vous conseillons de vous adresser directement à votre banque pour faire opposition. Nous vous recommandons également de changer votre mot de passe immédiatement », explique un porte-parole de la firme.

Visiblement, les sommes volées ne seraient pas des plus discrètes, puisque les victimes évoquent dans la majorité des cas des ponctions de plusieurs centaines voir milliers de dollars.

Cependant, un proche d'Apple souhaitant conserver l'anonymat déclare qu'iTunes est hors de cause et que le problème vient de phishing ou de vol de mot de passe réalisé en amont.

Oui, mais quand bien même, le problème vient surtout du fait que les comptes PayPal des consommateurs américains sont liés à leurs comptes iTunes....

Une affaire à suivre.

Source : Déclarations du porte-parole d'Apple

Pensez-vous que le problème vienne d'iTunes ou de phishing en amont ?

En cas de faille sur iTunes, pourrait-elle être liée aux vulnérabilités liées aux DLL que Microsoft vient de dévoiler ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de dams78
Membre chevronné https://www.developpez.com
Le 25/08/2010 à 11:39
Ca me fait quand même halluciné qu'on puisse encore faire du force brut aussi facilement sur un site internet (surtout quand il y a des informations bancaire derrière).
Le contrôle de l'ip ou bien le temps d'attendre avant chaque login, ils connaissent pas sur itunes?
4  1 
Avatar de JeitEmgie
Membre expert https://www.developpez.com
Le 25/08/2010 à 14:51
Citation Envoyé par simonlourson Voir le message
Tu n'as pas compris le problème. Du tout. Le problème n'est pas limité qu'aux utilisateurs qui ont le même mot de passe iTunes et Paypal. Le problème est limité aux utilisateurs qui ont lié leur compte iTunes à leur compte Paypal.
plus précisément, il y a eu plusieurs modèles de scam pour le phishing iTunes (et eBay…)…

certains ne collectent que le mot de passe iTunes et n'ont donc permis que le hack des comptes iTunes liés au compte Paypal avec le même mot de passe… ou les comptes de ceux qui auraient enregistré leur mot de passe Paypal dans leur profil iTunes… (ce qui ne concerne déjà pas tous les iTunes Store…)
et d'autres scams ont réussi à collecter les 2 mots de passe chez des utilisateurs encore moins méfiants…

ce qui explique finalement les explications un peu contradictoires que l'on trouve…
en fonction du scam et de l'utilisateur, il y a plusieurs profils de victimes… qui n'ont comme point commun que d'avoir lié leur compte client à leur compte Paypal… (condition nécessaire mais non suffisante pour être une victime potentielle…)
2  0 
Avatar de JeitEmgie
Membre expert https://www.developpez.com
Le 24/08/2010 à 19:14
Citation Envoyé par _skip Voir le message
Je peux me tromper mais il me semble que paypal demande tout de même le code CVC avant un paiement non? Ou n'est-ce pas le cas?
Si oui, comment cela serait-il possible dans un accès physique à la carte?

Même si paypal est une très bonne initiative, j'ai parfois l'impression que son approche email + mot de passe pour faire des transactions neutralise quelque peu certaines sécurités. A quand un paypal avec authentification forte?
Paypal demande le CVC si vous payez par CC sans nécessairement avoir un compte Paypal…
les achats via le compte Paypal sont débités de celui-ci… et ensuite de la CC associée au compte par domiciliation…
ce qui est en fait une cible de choix pour le phishing… si l'utilisateur a eu la naïveté d'utiliser les mêmes mots de passe… et de définir le mode de paiement comme étant son compte Paypal et non sa CC sur son compte iTunes…
1  0 
Avatar de Lyche
Expert confirmé https://www.developpez.com
Le 25/08/2010 à 11:07
A être au devant de la scène, on s'expose plus.. Ce qui réussissait à Apple c'était que son succès commercial limité ne pouvait pas apporter de mânes financières aux Hackers et autres pirates.. Maintenant qu'ils sont "partout" on exploite leurs produits, parce que la rentabilité n'est plus la même...

Citation Envoyé par GrandNoliv Voir le message
Il n’y a aucune faille en jeu dans cette histoire, c’est du phishing pur et simple. Pas besoin d’être spécialiste en sécurité pour le comprendre.
Votre titre est vraiment honteux… du developpez.net niveau zéro, ça attire du clic… bravo
Que ce soit une faille ou non, le problème reste le même. L'utilisateur. Plus tu en as, plus tu t'exposes à des problèmes. Mais comme Apple n'était pas habitué à avoir un grand publique, bah forcément ils ont pas pensé à tout. ça m'étonne de SJ qui à l'habitude de prendre ses utilisateurs pour des crétins finis à qui il faut apprendre comment on utilises du papier toilette
3  2 
Avatar de JeitEmgie
Membre expert https://www.developpez.com
Le 25/08/2010 à 12:04
Citation Envoyé par simonlourson Voir le message
FC'est possible? Parceque c'est la seule phrase de l'article qui semble confirmer que c'est bien une faille, et pas du simple pishing.
c'est du phishing et uniquement du phishing… pas l'exploitation d'une faille de sécurité au sens "exploitation d'une bug"…

par contre, un changement de logique dans la manière dont le panier est validé dans le cas de compte utilisateur iTunes lié à un compte Paypal peut contrecarrer les pirates en leur demandant une information qu'ils n'ont pas pu obtenir par leur technique de phishing… ou en obligeant 2 mots de passe distincts pour iTunes et le compte Paypal (si c'est possible de détecter cette situation…)

les pirates semblent avoir exploité 2 "failles" : la "naïveté" des utilisateurs qui ont vu leur mot de passe compromis par du phishing… et la "naïveté" du design du flux du panier dans le cas des comptes Paypal qui faisait trop confiance à l'utilisateur pour ne se faire pas voler bêtement son mot de passe et surtout de ne pas utiliser PARTOUT le même…
car rappelons quand même que çà ne concerne que les utilisateurs qui utilisaient le même mot de passe pour iTunes ET leur compte Paypal…
on a beau marteler partout d'éviter de le faire… il y a toujours une proportion de gens qui pensent que ça n'arrive qu'aux autres…
2  1 
Avatar de simonlourson
Membre habitué https://www.developpez.com
Le 25/08/2010 à 14:13
Citation Envoyé par Lyche Voir le message
On sent le topic de Apple fan défendant leurs entreprise, la moindre remarque sur Apple et dessuite ça vote contre, par contre les remarques absoluments pas utiles sont gavé de votes pour.. je suis fan
Ben, ils ont peut être raison, s'il n'y a pas de faille dans le service, si c'est juste une histoire de personnes qui se sont fait avoir par une vague de pishing, le titre est un peu racoleur...

C'est juste le fait de l'affirmer sans donner de source que je trouve limite. C'est tomber dans l'excès inverse en fait.
1  0 
Avatar de GrandNoliv
Membre du Club https://www.developpez.com
Le 25/08/2010 à 14:31
Citation Envoyé par simonlourson Voir le message
Non, désolé de te le dire, mais ton post n'était pas constructif. Être constructif, c'est proposer des solutions, analyser un problème. Ce n'est pas décréter que quelque chose est du niveau zéro sans argumenter quoi que ce soit.
Bon, c'est clair qu'il y a mille façons d'être plus constructif que mon message, mais je trouvais déjà important et utile de mettre en évidence que c'était bidon.
Désolé de ne pas appuyer chacun de mes messages par des sources mais on attend surtout cela du posteur initial de l'actu... franchement.

Et en l'absence de toutes sources, ni du posteur initial, ni de qui que ce soit d'autres, il n'y a pas d'élément qui tendraient à faire penser à une faille.

Les voilà les sources :
Les premières plaintes et la réaction du porte-parole d'Apple :
http://www.mercurynews.com/action-li...mp;forced=true
Sur techcrunch, également sensationnaliste, le porte parole ajoute “I can tell you that iTunes has not been hacked. Our servers have not been compromised.”
http://techcrunch.com/2010/08/23/pay...-itunes-fraud/
1  0 
Avatar de _skip
Expert éminent https://www.developpez.com
Le 24/08/2010 à 19:00
Je peux me tromper mais il me semble que paypal demande tout de même le code CVC avant un paiement non? Ou n'est-ce pas le cas?
Si oui, comment cela serait-il possible dans un accès physique à la carte?

Même si paypal est une très bonne initiative, j'ai parfois l'impression que son approche email + mot de passe pour faire des transactions neutralise quelque peu certaines sécurités. A quand un paypal avec authentification forte?
0  0 
Avatar de simonlourson
Membre habitué https://www.developpez.com
Le 25/08/2010 à 9:36
Citation Envoyé par GrandNoliv Voir le message
Il n’y a aucune faille en jeu dans cette histoire, c’est du phishing pur et simple. Pas besoin d’être spécialiste en sécurité pour le comprendre.
Fan Apple à la rescousse! Wouuuuouuuuuuu!!!

Sinon je n'ai pas trouvé de source pour cette affirmation:

Apple serait en train d'élaborer un correctif au problème, mais sans en donner de date de sortie ni plus d'explications techniques sur la faille (qui serait toujours là).
C'est possible? Parceque c'est la seule phrase de l'article qui semble confirmer que c'est bien une faille, et pas du simple pishing.
0  0 
Avatar de simonlourson
Membre habitué https://www.developpez.com
Le 25/08/2010 à 11:16
Citation Envoyé par Lyche Voir le message
A être au devant de la scène, on s'expose plus.. Ce qui réussissait à Apple c'était que son succès commercial limité ne pouvait pas apporter de mânes financières aux Hackers et autres pirates.. Maintenant qu'ils sont "partout" on exploite leurs produits, parce que la rentabilité n'est plus la même...

Que ce soit une faille ou non, le problème reste le même. L'utilisateur. Plus tu en as, plus tu t'exposes à des problèmes. Mais comme Apple n'était pas habitué à avoir un grand publique, bah forcément ils ont pas pensé à tout. ça m'étonne de SJ qui à l'habitude de prendre ses utilisateurs pour des crétins finis à qui il faut apprendre comment on utilises du papier toilette
Je suis complètement d'accord avec ton post. On voit bien que l'argument "plus d'utilisateurs = plus d'attaque" se vérifie.

Et invalide du coup l'argument marketing "mac = pas de virus". Les failles existent. Prédiction : le nombre de malware sur mac va augmenter au même rythme que ses pdm...
3  3