AppleDoesntGiveAFuckAboutSecurity, qu'on pourrait traduire par AppleN'EnARienÀFoutreDeLaSécurité, est une preuve de concept d'une vulnérabilité d'iTunes qui est sortie ce week-end. fG!, son créateur, indique avoir signalé à Apple la faille liée aux plug-ins (des modules qui ajoutent des fonctions à iTunes) en août 2011. L'entreprise lui aurait indiqué à l'époque qu'elle envisageait un correctif dans une prochaine mise à jour.

Deux ans et demi plus tard, la vulnérabilité étant toujours là, fG! a rendu publique sa découverte et mis au point un plug-in capable d'exploiter la faiblesse. Selon le hacker, la façon dont iTunes installe et gère les plug-ins leur permet d'avoir un contrôle total sur le logiciel d'Apple : « Le dossier de plug-ins est accessible en écriture par l'utilisateur connecté, donc un trojan peut facilement charger un plug-in malveillant. »

Autrement dit, un cheval de Troie pourrait se greffer à iTunes et siphonner toutes les données qui passent par lui grâce à quelques stratagèmes : « Un trojan pourrait forcer la déconnexion du compte iTunes et ensuite intercepter l'identifiant et le mot de passe lors de la reconnexion. Les informations sur la carte de crédit peuvent probablement être volées de la même manière. À moins que le cheval de Troie ne s'intéresse aux données de la sauvegarde locale d'iOS ? »

En attendant une éventuelle mise à jour de sécurité, il est comme toujours conseillé de n'installer que les logiciels dont la provenance est digne de confiance. Dans une fiche technique, Apple rappelle comment démarrer iTunes sans lancer les plug-ins :

• Sous OS X : maintenez les touches Option + Commande enfoncées.
• Sous Windows : maintenez les touches Maj + Contrôle enfoncées lors de l’ouverture d’iTunes.

Les plug-ins et les scripts associés à iTunes sont par ailleurs enregistrés aux emplacements suivants :

• /Utilisateurs/nom_utilisateur/Bibliothèque/iTunes/iTunes Plug-ins/
• /Bibliothèque/iTunes/iTunes Plug-ins/