Une faille dans iTunes serait exploitée pour voler de l'argent via PayPal
Puisque les comptes des 2 services sont liés

Le , par Katleen Erna, Expert éminent sénior
Une faille dans iTunes serait exploitée par des pirates pour voler de l'argent via PayPal, puisque les comptes des 2 services sont liés

La série noire continue pour Apple. La firme qui est actuellement sous le feu de diverses polémiques, fait à nouveau les titres. En cause cette fois-ci : une faille de sécurité dans iTunes (son application de vente de musique), qui a mené au vol de plusieurs milliers de dollars sur les comptes bancaires d'utilisateurs américains du service.

Pourtant, la firme à la pomme avait annoncé en juillet un renforcement sérieux de la sécurité de la plateforme de sa boutique en ligne, suite aux actions malveillantes d'un développeur qui avait piraté des comptes iTunes pour faire ses emplettes aux frais des abonnés.

Malheureusement il semble que les modifications apportées par Apple n'aient pas suffit. Et pourtant, la méthode utilisée serait simple et surtout déjà connue : il s'agirait de phishing ou d'attaque par force brute sur les mots de passe (visiblement protégés de manière insuffisante, et pas assez complexes en eux-mêmes). Et comme avec iTunes, les comptes des utilisateurs sont liés à leurs comptes PayPal...

Un internaute a ainsi vu 4700 dollars (environ 3700 euros) être retirés de son compte bancaire, pour 47 achats à 100 $ qu'il n'avait évidemment pas faits lui-même.

Heureusement pour lui, et pour les autres victimes, PayPal reconnaît le caractère frauduleux de ces opérations et procède au remboursement des sommes ainsi volées. Le site de paiement en ligne communique néanmoins en clamant haut et fort que la faille vient de la boutique d'Apple, et non pas de son propre site.

Apple serait en train d'élaborer un correctif au problème, mais sans en donner de date de sortie ni plus d'explications techniques sur la faille (qui serait toujours là).

« En marge des autres mesures de sécurité qui doivent être prises, iTunes demande désormais un changement plus fréquent du code de sécurité des cartes bleues. Mais si votre carte de crédit ou votre mot de passe iTunes est volé et/ou utilisé, nous vous conseillons de vous adresser directement à votre banque pour faire opposition. Nous vous recommandons également de changer votre mot de passe immédiatement », explique un porte-parole de la firme.

Visiblement, les sommes volées ne seraient pas des plus discrètes, puisque les victimes évoquent dans la majorité des cas des ponctions de plusieurs centaines voir milliers de dollars.

Cependant, un proche d'Apple souhaitant conserver l'anonymat déclare qu'iTunes est hors de cause et que le problème vient de phishing ou de vol de mot de passe réalisé en amont.

Oui, mais quand bien même, le problème vient surtout du fait que les comptes PayPal des consommateurs américains sont liés à leurs comptes iTunes....

Une affaire à suivre.

Source : Déclarations du porte-parole d'Apple

Pensez-vous que le problème vienne d'iTunes ou de phishing en amont ?

En cas de faille sur iTunes, pourrait-elle être liée aux vulnérabilités liées aux DLL que Microsoft vient de dévoiler ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Lyche Lyche - Expert confirmé https://www.developpez.com
le 25/08/2010 à 11:58
Citation Envoyé par dams78  Voir le message
Ca me fait quand même halluciné qu'on puisse encore faire du force brut aussi facilement sur un site internet (surtout quand il y a des informations bancaire derrière).
Le contrôle de l'ip ou bien le temps d'attendre avant chaque login, ils connaissent pas sur itunes?

de même, à mon avis le problème vient du fait que ces applications spéciales iOS aient été développées à la va vite pour répondre à l'évolution croissante du marché. Sans aucune sauvegarde rien, quand je vois à mon boulot le bronx que c'est pour développer les flux pour les applis iOS, je te jure c'est limite de l'amateurisme.. et c'est un prestataire qui nous fait l'appli -.-
Avatar de JeitEmgie JeitEmgie - Membre expert https://www.developpez.com
le 25/08/2010 à 12:04
Citation Envoyé par simonlourson  Voir le message
FC'est possible? Parceque c'est la seule phrase de l'article qui semble confirmer que c'est bien une faille, et pas du simple pishing.

c'est du phishing et uniquement du phishing… pas l'exploitation d'une faille de sécurité au sens "exploitation d'une bug"…

par contre, un changement de logique dans la manière dont le panier est validé dans le cas de compte utilisateur iTunes lié à un compte Paypal peut contrecarrer les pirates en leur demandant une information qu'ils n'ont pas pu obtenir par leur technique de phishing… ou en obligeant 2 mots de passe distincts pour iTunes et le compte Paypal (si c'est possible de détecter cette situation…)

les pirates semblent avoir exploité 2 "failles" : la "naïveté" des utilisateurs qui ont vu leur mot de passe compromis par du phishing… et la "naïveté" du design du flux du panier dans le cas des comptes Paypal qui faisait trop confiance à l'utilisateur pour ne se faire pas voler bêtement son mot de passe et surtout de ne pas utiliser PARTOUT le même…
car rappelons quand même que çà ne concerne que les utilisateurs qui utilisaient le même mot de passe pour iTunes ET leur compte Paypal…
on a beau marteler partout d'éviter de le faire… il y a toujours une proportion de gens qui pensent que ça n'arrive qu'aux autres…
Avatar de GrandNoliv GrandNoliv - Membre du Club https://www.developpez.com
le 25/08/2010 à 13:14
Citation Envoyé par simonlourson  Voir le message
Fan Apple à la rescousse! Wouuuuouuuuuuu!!!

Je m'en tape complètement de la défense d'Apple... ce qui m'intéresse c'est d'avoir des sources d'informations fiables, et developpez.net n'en est pas toujours une: je suis venu lire l'article pour savoir si je devais agir pour protéger mon compte iTunes (il m'arrive d'acheter des applications pour iPhone donc j'ai un compte iTunes) et je découvre que le titre racoleur est simplement faux... La crédibilité de developpez.net descend et c'est dommage, et comme ça m'ennuie de voir ça, je le dis (pour être constructif).
Avatar de simonlourson simonlourson - Membre habitué https://www.developpez.com
le 25/08/2010 à 14:01
Citation Envoyé par GrandNoliv  Voir le message
Je m'en tape complètement de la défense d'Apple... ce qui m'intéresse c'est d'avoir des sources d'informations fiables, et developpez.net n'en est pas toujours une: je suis venu lire l'article pour savoir si je devais agir pour protéger mon compte iTunes (il m'arrive d'acheter des applications pour iPhone donc j'ai un compte iTunes) et je découvre que le titre racoleur est simplement faux... La crédibilité de developpez.net descend et c'est dommage, et comme ça m'ennuie de voir ça, je le dis (pour être constructif).

Non, désolé de te le dire, mais ton post n'était pas constructif. Être constructif, c'est proposer des solutions, analyser un problème. Ce n'est pas décréter que quelque chose est du niveau zéro sans argumenter quoi que ce soit.

C'est par exemple, demander des sources quand tu lis une phrase qui contredit ton analyse (que ce n'est "que du pishing"). Le rédacteur nous dit que Apple est au courant du problème, et travaille sur un correctif, ça semble indiquer qu'il y a autre chose non?

c'est du phishing et uniquement du phishing… pas l'exploitation d'une faille de sécurité au sens "exploitation d'une bug"…

par contre, un changement de logique dans la manière dont le panier est validé dans le cas de compte utilisateur iTunes lié à un compte Paypal peut contrecarrer les pirates en leur demandant une information qu'ils n'ont pas pu obtenir par leur technique de phishing… ou en obligeant 2 mots de passe distincts pour iTunes et le compte Paypal (si c'est possible de détecter cette situation…)

les pirates semblent avoir exploiter 2 "failles" : la "naïveté" des utilisateurs qui ont vu leur mot de passe compromis par du phishing… et la "naïveté" du design du flux du panier dans le cas des comptes Paypal qui faisait trop confiance à l'utilisateur pour ne se faire pas voler bêtement son mot de passe et surtout de ne pas utiliser PARTOUT le même…
car rappelons quand même que çà ne concerne que les utilisateurs qui utilisaient le même mot de passe pour iTunes ET leur compte Paypal…
on a beau marteler partout d'éviter de le faire… il y a toujours une proportion de gens qui pensent que çà n'arrive qu'aux autres…

Tu n'as pas compris le problème. Du tout. Le problème n'est pas limité qu'aux utilisateurs qui ont le même mot de passe iTunes et Paypal. Le problème est limité aux utilisateurs qui ont lié leur compte iTunes à leur compte Paypal.

Exemple : je suis sur Steam, et mon compte Steam est lié à mes informations bancaires. Comme ça, pas besoin de rentrer mon numéro de carte bleue à chaque fois que je veux acheter un jeu. Donc n'importe qui qui obtient mon mot de passe Steam (par pishing, ou en exploitant une faille dans le service de valve) peut acheter des jeux et vider mon compte si ça lui chante. C'est ce qui se passe en ce moment avec iTunes.

Un pirate qui obtient un mot de passe peut acheter une de ses propres applications, sur laquelle il touche un pourcentage.
Avatar de Lyche Lyche - Expert confirmé https://www.developpez.com
le 25/08/2010 à 14:04
On sent le topic de Apple fan défendant leurs entreprise, la moindre remarque sur Apple et dessuite ça vote contre, par contre les remarques absoluments pas utiles sont gavé de votes pour.. je suis fan
Avatar de simonlourson simonlourson - Membre habitué https://www.developpez.com
le 25/08/2010 à 14:13
Citation Envoyé par Lyche  Voir le message
On sent le topic de Apple fan défendant leurs entreprise, la moindre remarque sur Apple et dessuite ça vote contre, par contre les remarques absoluments pas utiles sont gavé de votes pour.. je suis fan

Ben, ils ont peut être raison, s'il n'y a pas de faille dans le service, si c'est juste une histoire de personnes qui se sont fait avoir par une vague de pishing, le titre est un peu racoleur...

C'est juste le fait de l'affirmer sans donner de source que je trouve limite. C'est tomber dans l'excès inverse en fait.
Avatar de Lyche Lyche - Expert confirmé https://www.developpez.com
le 25/08/2010 à 14:17
Citation Envoyé par simonlourson  Voir le message
Ben, ils ont peut être raison, si il n'y a pas de faille dans le service, si c'est juste une histoire de personnes qui se sont fait avoir par une vague de pishing, le titre est un peu racoleur...

C'est juste le fait de l'affirmer sans donner de source que je trouve limite. C'est tomber dans l'excès inverse en fait.

regarde mes postes, et comprend que je n'émettais pas de critiques et que je ne faisais que constater un truc. Ensuite, regarde les votes, et comprend que les Fan boys d'Apple ont une réaction d'un niveau proche du primaire. Je m'en fou, je cherche pas les votes, mais je trouve ça stupide..
Avatar de simonlourson simonlourson - Membre habitué https://www.developpez.com
le 25/08/2010 à 14:21
Citation Envoyé par Lyche  Voir le message
regarde mes postes, et comprend que je n'émettais pas de critiques et que je ne faisais que constater un truc. Ensuite, regarde les votes, et comprend que les Fan boys d'Apple ont une réaction d'un niveau proche du primaire. Je m'en fou, je cherche pas les votes, mais je trouve ça stupide..

Oui ; mais voter négatif leur évite peut être de répondre par des vrais arguments, appuyés par des sources ;-)
Avatar de GrandNoliv GrandNoliv - Membre du Club https://www.developpez.com
le 25/08/2010 à 14:31
Citation Envoyé par simonlourson  Voir le message
Non, désolé de te le dire, mais ton post n'était pas constructif. Être constructif, c'est proposer des solutions, analyser un problème. Ce n'est pas décréter que quelque chose est du niveau zéro sans argumenter quoi que ce soit.

Bon, c'est clair qu'il y a mille façons d'être plus constructif que mon message, mais je trouvais déjà important et utile de mettre en évidence que c'était bidon.
Désolé de ne pas appuyer chacun de mes messages par des sources mais on attend surtout cela du posteur initial de l'actu... franchement.

Et en l'absence de toutes sources, ni du posteur initial, ni de qui que ce soit d'autres, il n'y a pas d'élément qui tendraient à faire penser à une faille.

Les voilà les sources :
Les premières plaintes et la réaction du porte-parole d'Apple :
http://www.mercurynews.com/action-li...=1&forced=true
Sur techcrunch, également sensationnaliste, le porte parole ajoute “I can tell you that iTunes has not been hacked. Our servers have not been compromised.”
http://techcrunch.com/2010/08/23/paypal-itunes-fraud/
Avatar de Lyche Lyche - Expert confirmé https://www.developpez.com
le 25/08/2010 à 14:35
ça reste des sources Apple grandement soumises à caution.. Cette même entreprise qui disait que ses OS étaient sans faille.. depuis le JailBreak j'ai du mal à croire tout ce qu'ils me disent.
Avatar de JeitEmgie JeitEmgie - Membre expert https://www.developpez.com
le 25/08/2010 à 14:51
Citation Envoyé par simonlourson  Voir le message
Tu n'as pas compris le problème. Du tout. Le problème n'est pas limité qu'aux utilisateurs qui ont le même mot de passe iTunes et Paypal. Le problème est limité aux utilisateurs qui ont lié leur compte iTunes à leur compte Paypal.

plus précisément, il y a eu plusieurs modèles de scam pour le phishing iTunes (et eBay…)…

certains ne collectent que le mot de passe iTunes et n'ont donc permis que le hack des comptes iTunes liés au compte Paypal avec le même mot de passe… ou les comptes de ceux qui auraient enregistré leur mot de passe Paypal dans leur profil iTunes… (ce qui ne concerne déjà pas tous les iTunes Store…)
et d'autres scams ont réussi à collecter les 2 mots de passe chez des utilisateurs encore moins méfiants…

ce qui explique finalement les explications un peu contradictoires que l'on trouve…
en fonction du scam et de l'utilisateur, il y a plusieurs profils de victimes… qui n'ont comme point commun que d'avoir lié leur compte client à leur compte Paypal… (condition nécessaire mais non suffisante pour être une victime potentielle…)
Offres d'emploi IT
Responsable transverse - engagement métiers H/F
Safran - Ile de France - Corbeil-Essonnes (91100)
Expert décisionnel business intelligence H/F
Safran - Ile de France - Évry (91090)
Responsable protection des données H/F
Safran - Ile de France - Magny-les-Hameaux (78114)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil