Discussion :

[Katleen Erna]

Une faille dans iTunes serait exploitée par des pirates pour voler de l'argent via PayPal, puisque les comptes des 2 services sont liés

La série noire continue pour Apple. La firme qui est actuellement sous le feu de diverses polémiques, fait à nouveau les titres. En cause cette fois-ci : une faille de sécurité dans iTunes (son application de vente de musique), qui a mené au vol de plusieurs milliers de dollars sur les comptes bancaires d'utilisateurs américains du service.

Pourtant, la firme à la pomme avait annoncé en juillet un renforcement sérieux de la sécurité de la plateforme de sa boutique en ligne, suite aux actions malveillantes d'un développeur qui avait piraté des comptes iTunes pour faire ses emplettes aux frais des abonnés.

Malheureusement il semble que les modifications apportées par Apple n'aient pas suffit. Et pourtant, la méthode utilisée serait simple et surtout déjà connue : il s'agirait de phishing ou d'attaque par force brute sur les mots de passe (visiblement protégés de manière insuffisante, et pas assez complexes en eux-mêmes). Et comme avec iTunes, les comptes des utilisateurs sont liés à leurs comptes PayPal...

Un internaute a ainsi vu 4700 dollars (environ 3700 euros) être retirés de son compte bancaire, pour 47 achats à 100 $ qu'il n'avait évidemment pas faits lui-même.

Heureusement pour lui, et pour les autres victimes, PayPal reconnaît le caractère frauduleux de ces opérations et procède au remboursement des sommes ainsi volées. Le site de paiement en ligne communique néanmoins en clamant haut et fort que la faille vient de la boutique d'Apple, et non pas de son propre site.

Apple serait en train d'élaborer un correctif au problème, mais sans en donner de date de sortie ni plus d'explications techniques sur la faille (qui serait toujours là).

« En marge des autres mesures de sécurité qui doivent être prises, iTunes demande désormais un changement plus fréquent du code de sécurité des cartes bleues. Mais si votre carte de crédit ou votre mot de passe iTunes est volé et/ou utilisé, nous vous conseillons de vous adresser directement à votre banque pour faire opposition. Nous vous recommandons également de changer votre mot de passe immédiatement », explique un porte-parole de la firme.

Visiblement, les sommes volées ne seraient pas des plus discrètes, puisque les victimes évoquent dans la majorité des cas des ponctions de plusieurs centaines voir milliers de dollars.

Cependant, un proche d'Apple souhaitant conserver l'anonymat déclare qu'iTunes est hors de cause et que le problème vient de phishing ou de vol de mot de passe réalisé en amont.

Oui, mais quand bien même, le problème vient surtout du fait que les comptes PayPal des consommateurs américains sont liés à leurs comptes iTunes....

Une affaire à suivre.

Source : Déclarations du porte-parole d'Apple

Pensez-vous que le problème vienne d'iTunes ou de phishing en amont ?

En cas de faille sur iTunes, pourrait-elle être liée aux vulnérabilités liées aux DLL que Microsoft vient de dévoiler ?

[_skip]

Je peux me tromper mais il me semble que paypal demande tout de même le code CVC avant un paiement non? Ou n'est-ce pas le cas?
Si oui, comment cela serait-il possible dans un accès physique à la carte?

Même si paypal est une très bonne initiative, j'ai parfois l'impression que son approche email + mot de passe pour faire des transactions neutralise quelque peu certaines sécurités. A quand un paypal avec authentification forte?

[JeitEmgie]

Je peux me tromper mais il me semble que paypal demande tout de même le code CVC avant un paiement non? Ou n'est-ce pas le cas?
Si oui, comment cela serait-il possible dans un accès physique à la carte?

Même si paypal est une très bonne initiative, j'ai parfois l'impression que son approche email + mot de passe pour faire des transactions neutralise quelque peu certaines sécurités. A quand un paypal avec authentification forte?

Paypal demande le CVC si vous payez par CC sans nécessairement avoir un compte Paypal…
les achats via le compte Paypal sont débités de celui-ci… et ensuite de la CC associée au compte par domiciliation…
ce qui est en fait une cible de choix pour le phishing… si l'utilisateur a eu la naïveté d'utiliser les mêmes mots de passe… et de définir le mode de paiement comme étant son compte Paypal et non sa CC sur son compte iTunes…

[GrandNoliv]

Il n’y a aucune faille en jeu dans cette histoire, c’est du phishing pur et simple. Pas besoin d’être spécialiste en sécurité pour le comprendre.

[simonlourson]

Il n’y a aucune faille en jeu dans cette histoire, c’est du phishing pur et simple. Pas besoin d’être spécialiste en sécurité pour le comprendre.

Fan Apple à la rescousse! Wouuuuouuuuuuu!!!

Sinon je n'ai pas trouvé de source pour cette affirmation:

Apple serait en train d'élaborer un correctif au problème, mais sans en donner de date de sortie ni plus d'explications techniques sur la faille (qui serait toujours là).

C'est possible? Parceque c'est la seule phrase de l'article qui semble confirmer que c'est bien une faille, et pas du simple pishing.

[zencorp]

Je ne sais pas s'il s'agit oui ou non d'une faille du côté de Itune, mais il y a déjà eu plusieurs update de sécurité pour Itune publiées par Apple dans le passé, donc cela ne serait pas la première fois que Itune (comme n'importe quelle autre application) souffre de "défauts" de sécurité ci et là.

Par contre je pense qu'il est de la responsabilité d'Apple de contrôler le comportement et la sécurité des applications qui sont proposées au travers de le magasin en ligne : Apple store, que l'on accède entre autre par : Itune.

Car c'est le distributeur qui se doit de faire attention à ses consommateurs. Si un de ses fournisseurs ( développeur ) lui fourgue de la marchandise défectueuse ou contaminée , c'est de la responsabilité du distributeur de protéger ses clients.

[Lyche]

A être au devant de la scène, on s'expose plus.. Ce qui réussissait à Apple c'était que son succès commercial limité ne pouvait pas apporter de mânes financières aux Hackers et autres pirates.. Maintenant qu'ils sont "partout" on exploite leurs produits, parce que la rentabilité n'est plus la même...

Il n’y a aucune faille en jeu dans cette histoire, c’est du phishing pur et simple. Pas besoin d’être spécialiste en sécurité pour le comprendre.
Votre titre est vraiment honteux… du developpez.net niveau zéro, ça attire du clic… bravo

Que ce soit une faille ou non, le problème reste le même. L'utilisateur. Plus tu en as, plus tu t'exposes à des problèmes. Mais comme Apple n'était pas habitué à avoir un grand publique, bah forcément ils ont pas pensé à tout. ça m'étonne de SJ qui à l'habitude de prendre ses utilisateurs pour des crétins finis à qui il faut apprendre comment on utilises du papier toilette

[simonlourson]

A être au devant de la scène, on s'expose plus.. Ce qui réussissait à Apple c'était que son succès commercial limité ne pouvait pas apporter de mânes financières aux Hackers et autres pirates.. Maintenant qu'ils sont "partout" on exploite leurs produits, parce que la rentabilité n'est plus la même...



Que ce soit une faille ou non, le problème reste le même. L'utilisateur. Plus tu en as, plus tu t'exposes à des problèmes. Mais comme Apple n'était pas habitué à avoir un grand publique, bah forcément ils ont pas pensé à tout. ça m'étonne de SJ qui à l'habitude de prendre ses utilisateurs pour des crétins finis à qui il faut apprendre comment on utilises du papier toilette

Je suis complètement d'accord avec ton post. On voit bien que l'argument "plus d'utilisateurs = plus d'attaque" se vérifie.

Et invalide du coup l'argument marketing "mac = pas de virus". Les failles existent. Prédiction : le nombre de malware sur mac va augmenter au même rythme que ses pdm...

[dams78]

Ca me fait quand même halluciné qu'on puisse encore faire du force brut aussi facilement sur un site internet (surtout quand il y a des informations bancaire derrière).
Le contrôle de l'ip ou bien le temps d'attendre avant chaque login, ils connaissent pas sur itunes?

[Lyche]

Ca me fait quand même halluciné qu'on puisse encore faire du force brut aussi facilement sur un site internet (surtout quand il y a des informations bancaire derrière).
Le contrôle de l'ip ou bien le temps d'attendre avant chaque login, ils connaissent pas sur itunes?

de même, à mon avis le problème vient du fait que ces applications spéciales iOS aient été développées à la va vite pour répondre à l'évolution croissante du marché. Sans aucune sauvegarde rien, quand je vois à mon boulot le bronx que c'est pour développer les flux pour les applis iOS, je te jure c'est limite de l'amateurisme.. et c'est un prestataire qui nous fait l'appli -.-

[JeitEmgie]

FC'est possible? Parceque c'est la seule phrase de l'article qui semble confirmer que c'est bien une faille, et pas du simple pishing.

c'est du phishing et uniquement du phishing… pas l'exploitation d'une faille de sécurité au sens "exploitation d'une bug"…

par contre, un changement de logique dans la manière dont le panier est validé dans le cas de compte utilisateur iTunes lié à un compte Paypal peut contrecarrer les pirates en leur demandant une information qu'ils n'ont pas pu obtenir par leur technique de phishing… ou en obligeant 2 mots de passe distincts pour iTunes et le compte Paypal (si c'est possible de détecter cette situation…)

les pirates semblent avoir exploité 2 "failles" : la "naïveté" des utilisateurs qui ont vu leur mot de passe compromis par du phishing… et la "naïveté" du design du flux du panier dans le cas des comptes Paypal qui faisait trop confiance à l'utilisateur pour ne se faire pas voler bêtement son mot de passe et surtout de ne pas utiliser PARTOUT le même…
car rappelons quand même que çà ne concerne que les utilisateurs qui utilisaient le même mot de passe pour iTunes ET leur compte Paypal…
on a beau marteler partout d'éviter de le faire… il y a toujours une proportion de gens qui pensent que ça n'arrive qu'aux autres…

[GrandNoliv]

Fan Apple à la rescousse! Wouuuuouuuuuuu!!!

Je m'en tape complètement de la défense d'Apple... ce qui m'intéresse c'est d'avoir des sources d'informations fiables, et developpez.net n'en est pas toujours une: je suis venu lire l'article pour savoir si je devais agir pour protéger mon compte iTunes (il m'arrive d'acheter des applications pour iPhone donc j'ai un compte iTunes) et je découvre que le titre racoleur est simplement faux... La crédibilité de developpez.net descend et c'est dommage, et comme ça m'ennuie de voir ça, je le dis (pour être constructif).

[simonlourson]

Je m'en tape complètement de la défense d'Apple... ce qui m'intéresse c'est d'avoir des sources d'informations fiables, et developpez.net n'en est pas toujours une: je suis venu lire l'article pour savoir si je devais agir pour protéger mon compte iTunes (il m'arrive d'acheter des applications pour iPhone donc j'ai un compte iTunes) et je découvre que le titre racoleur est simplement faux... La crédibilité de developpez.net descend et c'est dommage, et comme ça m'ennuie de voir ça, je le dis (pour être constructif).

Non, désolé de te le dire, mais ton post n'était pas constructif. Être constructif, c'est proposer des solutions, analyser un problème. Ce n'est pas décréter que quelque chose est du niveau zéro sans argumenter quoi que ce soit.

C'est par exemple, demander des sources quand tu lis une phrase qui contredit ton analyse (que ce n'est "que du pishing"). Le rédacteur nous dit que Apple est au courant du problème, et travaille sur un correctif, ça semble indiquer qu'il y a autre chose non?

c'est du phishing et uniquement du phishing… pas l'exploitation d'une faille de sécurité au sens "exploitation d'une bug"…

par contre, un changement de logique dans la manière dont le panier est validé dans le cas de compte utilisateur iTunes lié à un compte Paypal peut contrecarrer les pirates en leur demandant une information qu'ils n'ont pas pu obtenir par leur technique de phishing… ou en obligeant 2 mots de passe distincts pour iTunes et le compte Paypal (si c'est possible de détecter cette situation…)

les pirates semblent avoir exploiter 2 "failles" : la "naïveté" des utilisateurs qui ont vu leur mot de passe compromis par du phishing… et la "naïveté" du design du flux du panier dans le cas des comptes Paypal qui faisait trop confiance à l'utilisateur pour ne se faire pas voler bêtement son mot de passe et surtout de ne pas utiliser PARTOUT le même…
car rappelons quand même que çà ne concerne que les utilisateurs qui utilisaient le même mot de passe pour iTunes ET leur compte Paypal…
on a beau marteler partout d'éviter de le faire… il y a toujours une proportion de gens qui pensent que çà n'arrive qu'aux autres…

Tu n'as pas compris le problème. Du tout. Le problème n'est pas limité qu'aux utilisateurs qui ont le même mot de passe iTunes et Paypal. Le problème est limité aux utilisateurs qui ont lié leur compte iTunes à leur compte Paypal.

Exemple : je suis sur Steam, et mon compte Steam est lié à mes informations bancaires. Comme ça, pas besoin de rentrer mon numéro de carte bleue à chaque fois que je veux acheter un jeu. Donc n'importe qui qui obtient mon mot de passe Steam (par pishing, ou en exploitant une faille dans le service de valve) peut acheter des jeux et vider mon compte si ça lui chante. C'est ce qui se passe en ce moment avec iTunes.

Un pirate qui obtient un mot de passe peut acheter une de ses propres applications, sur laquelle il touche un pourcentage.

[Lyche]

On sent le topic de Apple fan défendant leurs entreprise, la moindre remarque sur Apple et dessuite ça vote contre, par contre les remarques absoluments pas utiles sont gavé de votes pour.. je suis fan

[simonlourson]

On sent le topic de Apple fan défendant leurs entreprise, la moindre remarque sur Apple et dessuite ça vote contre, par contre les remarques absoluments pas utiles sont gavé de votes pour.. je suis fan

Ben, ils ont peut être raison, s'il n'y a pas de faille dans le service, si c'est juste une histoire de personnes qui se sont fait avoir par une vague de pishing, le titre est un peu racoleur...

C'est juste le fait de l'affirmer sans donner de source que je trouve limite. C'est tomber dans l'excès inverse en fait.

[Lyche]

Ben, ils ont peut être raison, si il n'y a pas de faille dans le service, si c'est juste une histoire de personnes qui se sont fait avoir par une vague de pishing, le titre est un peu racoleur...

C'est juste le fait de l'affirmer sans donner de source que je trouve limite. C'est tomber dans l'excès inverse en fait.

regarde mes postes, et comprend que je n'émettais pas de critiques et que je ne faisais que constater un truc. Ensuite, regarde les votes, et comprend que les Fan boys d'Apple ont une réaction d'un niveau proche du primaire. Je m'en fou, je cherche pas les votes, mais je trouve ça stupide..

[simonlourson]

regarde mes postes, et comprend que je n'émettais pas de critiques et que je ne faisais que constater un truc. Ensuite, regarde les votes, et comprend que les Fan boys d'Apple ont une réaction d'un niveau proche du primaire. Je m'en fou, je cherche pas les votes, mais je trouve ça stupide..

Oui ; mais voter négatif leur évite peut être de répondre par des vrais arguments, appuyés par des sources ;-)

[GrandNoliv]

Non, désolé de te le dire, mais ton post n'était pas constructif. Être constructif, c'est proposer des solutions, analyser un problème. Ce n'est pas décréter que quelque chose est du niveau zéro sans argumenter quoi que ce soit.

Bon, c'est clair qu'il y a mille façons d'être plus constructif que mon message, mais je trouvais déjà important et utile de mettre en évidence que c'était bidon.
Désolé de ne pas appuyer chacun de mes messages par des sources mais on attend surtout cela du posteur initial de l'actu... franchement.

Et en l'absence de toutes sources, ni du posteur initial, ni de qui que ce soit d'autres, il n'y a pas d'élément qui tendraient à faire penser à une faille.

Les voilà les sources :
Les premières plaintes et la réaction du porte-parole d'Apple :
http://www.mercurynews.com/action-li...=1&forced=true
Sur techcrunch, également sensationnaliste, le porte parole ajoute “I can tell you that iTunes has not been hacked. Our servers have not been compromised.”
http://techcrunch.com/2010/08/23/paypal-itunes-fraud/

[Lyche]

ça reste des sources Apple grandement soumises à caution.. Cette même entreprise qui disait que ses OS étaient sans faille.. depuis le JailBreak j'ai du mal à croire tout ce qu'ils me disent.

[JeitEmgie]

Tu n'as pas compris le problème. Du tout. Le problème n'est pas limité qu'aux utilisateurs qui ont le même mot de passe iTunes et Paypal. Le problème est limité aux utilisateurs qui ont lié leur compte iTunes à leur compte Paypal.

plus précisément, il y a eu plusieurs modèles de scam pour le phishing iTunes (et eBay…)…

certains ne collectent que le mot de passe iTunes et n'ont donc permis que le hack des comptes iTunes liés au compte Paypal avec le même mot de passe… ou les comptes de ceux qui auraient enregistré leur mot de passe Paypal dans leur profil iTunes… (ce qui ne concerne déjà pas tous les iTunes Store…)
et d'autres scams ont réussi à collecter les 2 mots de passe chez des utilisateurs encore moins méfiants…

ce qui explique finalement les explications un peu contradictoires que l'on trouve…
en fonction du scam et de l'utilisateur, il y a plusieurs profils de victimes… qui n'ont comme point commun que d'avoir lié leur compte client à leur compte Paypal… (condition nécessaire mais non suffisante pour être une victime potentielle…)