iTunes Store : piratages par achats in-app depuis plusieurs mois

Nicolas Furno |

Le compte iTunes Store d'un lecteur a été prélevé d'environ 90 € pour des achats in-app soi-disant effectués dans -KingdomConquest- (Gratuit), un MMORPG freemium développé par SEGA. Seul problème, notre lecteur n'a jamais utilisé ce jeu et il n'a par conséquent jamais eu l'occasion de faire ces achats in-app. Son compte a donc été piraté.

piratage iTunes Store

Apple connaît manifestement le problème. Notre lecteur a reçu très rapidement un mail de l'entreprise lui demandant de confirmer ces achats. Apple remboursera les achats sans discuter, à défaut de régler le problème à la source. Notre lecteur n'est pas le seul à qui ce problème est arrivé : on trouve des cas de piratage identiques depuis… le mois de mai. Ce piratage est manifestement bien implanté, comme en témoignent les commentaires sur l'App Store américain.

piratage

Le problème est général : des témoignages signalent des cas similaires dans tous les App Store et pour d'autres jeux. Il n'est pas nécessaire d'acheter l'application, ni même de posséder un terminal iOS, un compte iTunes Store suffit. Les pirates utilisent les achats in-app pour détourner les sommes de votre compte.

Le problème est ancien, mais n'est visiblement toujours pas réglé. La faille utilisée par ces pirates résiste semble-t-il à Apple : si vous voulez éviter tout problème, le mieux est de ne pas lier votre compte iTunes Store à votre compte, en achetant des cartes iTunes. En sachant néanmoins que ces cas de piratages restent minoritaires et qu'Apple vous remboursera toujours le cas échéant.

Merci Raphaël – PC INpact

Tags
#piratage #problèmes App Store #Achats In-App
avatar icemanfx | 
Moi ce matin ITunes ma demander de changer mon password et lors de la saisie du nouveau password il demander un password plus compliquer. Donc a mon avis ils sont en train de forcer les gens a avoir un propre password difficile a deviner pour éviter de ce faire pirater.
avatar Apical-informatique | 
@littlebigfrancois : Je pense que cecemf est étranger (anglo-saxon) a sa manière d'écrire Si c'est le cas, faut être plus souple! Sinon, sur le fond, c'est flippant de voir que même un système clos et bien ficelé comme celui d'apple peut être piraté...
avatar Titov | 
Preuve qu'il s'agit d'une vraie faille et pas d'un mot de passe trop simple ?
avatar Satoral | 
Hum, ils parlent tous de faille mais… on ne sait pas trop ce que c'est. Certains considèrent que c'est sérieux quand d'autres pensent que c'est ce qui s'est passé avec le jeu "Les Schtroumpfs" (achat trop facile car aucune demande de mdp X minutes après téléchargement). Néanmoins, à en juger les mails que certains reçoivent pour changement de mdp, et à considérer que la plus grosse faille (et la plus facile) est l'utilisateur, donc son mdp, il y a au moins 95% de chances que ce soit ça le vrai problème. Et il faut admettre que les vérifications de secours par question ont fait leur temps vu qu'il est très facile d'en trouver la réponse avec une simple recherche en ligne… Mais ce que je ne comprends pas, c'est que les personnes ne disent rien quant à la réception d'un mail de facturation (qui arrive à peu près 48h plus tard) ou sur les achats récupérables dans AppStore (il est vrai que seules les apps sont récupérables, les achats in-app étant récupérables directement dans l'application). Après, la question reste l'obtention des mdp… mais là encore, je pense que le travail est facilité par la faiblesse des mdp des utilisateurs qui permet de très vite les trouver. Mais à mon avis, comme dans la majorité des cas (si iTunes avait été hacké pour obtenir BDD, ça se saurait), la faille est surtout une série de négligences côté utilisateur, ce qui me parait plutôt corroboré par le fait que ce n'est pas généralisé et géré au cas par cas : mdp trop facile à deviner, utilisateur qui survole ses factures (à moins que ce soit débrayable mais je ne pense pas vu que c'est obligatoire), utilisateur qui ne vérifie pas son historique d'achat dans AppStore, achats in-app qui n'apparaissent pas dans le volet Achat d'AppStore iPad et iPhone, etc.). Preuve importante en est, l'utilisateur peut continuer à acheter et Apple doit couper elle-même les liens entre infos de paiement et compte iTunes… on est quand même assez loin de la faille systématique qui permet de dépenser énormément en peu de temps, d'autant que ça semble utilisé pour acheter du contenu et pas pour générer des revenus comme par le passé… certainement des "gamers" qui doivent acheter des listings pour une bouchée de pain et picorer un peu partout.
avatar oxmosys | 
Si je comprend bien, le crime profite uniquement au développeur / gestionnaire de l'application. C'est donc assez simple pour Apple d'intervenir en banissant ces applis.
avatar marcplemay | 
De toute manière, lier un compte iTunes à une carte bleue est abusif et dangereux. Ça profite évidemment a Apple qui compte sur les achats impulsifs.
avatar peteskwal | 
Le plus simple est d'entrer son n° de CB seulement lors d'un achat, puis de le retirer après l'achat. En plus ça évite les achats impulsifs !
avatar Marksanders | 
Pirater pourquoi ??? Pour rapporter de l'argent à Sega ou Apple ??? Je ne comprends pas trop l'intérêt.
avatar SugarWater | 
J'ai quand même l'impression qu'il s'agit de vol de mots de passe, non ? Rien dans l'article de PC INpact n'indique autre chose. Et dans ce cas, carte iTunes ou pas, ça sera pareil. Dixit Sega, dans l'article cité : "Il semble bien que votre compte iTunes ait été volé". Et dans beaucoup de ces cas, il s'agit de comptes iTunes liés à des comptes PayPal – la cible idéale, parce que si c'est une CB qui est liée à votre compte, votre code CCV vous est demandé quand vous associez un nouvel appareil. Donc choisissez de bons mots de passe, et ne les réutilisez pas.
avatar CHABI31 | 
A quoi sert il de voler des identifiants iTunes? Je comprend l'intérêt financier de voler une apps...
avatar Tit-Ben38 | 
Moi non plus je ne comprend pas à qui profite ce crime... Sega ?
avatar Tit-Ben38 | 
@initialsBB : Ah pardon, j'aurais du vérifier avant de poster: SEGA et Sega Corporation ne sont pas la même société !
avatar takahashi751 | 
Il y a 2 ans je me suis fait pirater 223€. Apple n'a pas fait le moindre geste. Je n'ai reçu aucune réponse au signalement. Qui plus est, l'iTunes store refuse la eCB qui permet une protection, ce refus devenant une acceptation lors de l'achat f'un Mac pour 4000 € !!! Comprenne qui pourra !!
avatar Albin22 | 
@ LittlebigFrançois et Marc Duchesne : C'est d'un piratage de comptes apple qu'on parle ici, mais c'est sur le PSN et sur l'android market que vous ne mettriez surtout pas votre numéro de CB parce que c'est surtout là que ça vous fait peur… J'adore… le fanboy dans toute sa splendeur. Et bien moi j'ai un android, une ps3, et un compte itunes pour mon mac et ipod, et aucun des 3 n'a ma CB! Arrêtez de croire au père noel, apple n'est pas mieux lotie que les autres, la preuve, le mieux est de rester prudent partout. Ca me gonfle ce genre de réflexion du type "si c'est arrivé à apple, c'est que c'est encore pire chez les autres"
avatar Titov | 
Avez-vous une preuve qu'il s'agit d'une vraie faille et pas d'un mot de passe trop simple ?
avatar imkl | 
De mon coté, j'ai eu un problème semblable début avril avec Texas Hold'em comme app, pour 15,99€ et 3,99€. Bien sur Apple a tout rembourser, et j'ai changé de mot de pass. Je pense que la faiblesse de sécurité venait du mot de pass. Maintenant je change de mot de pass tout les environ 3 mois et il est plus complexe et long qu'avant. Mais je pense qu'iTunes est mieux sécuriser que le PSN vu la gigantesque attaque/pillage qu'a subit ce dernier...
avatar Emmanuel aime attendre | 
Tiens j'ai eu le même souci sur mon compte samedi...50€ d'achats ont été débités de mon solde (carte iTunes) samedi, j'ai reçu un mail d'Apple dimanche me demandant si c'etait bien moi. Je les ai contactés hier, j'attends dorénavant leur réponse...

CONNEXION UTILISATEUR