Passer au contenu

Achats in-app : Apple prend des mesures

Face à la faille mise en lumière par le développeur russe Alexey Borodin au sein des achats in-app du de l’AppStore, la firme de Cupertino prend…

Face à la faille mise en lumière par le développeur russe Alexey Borodin au sein des achats in-app du de l’AppStore, la firme de Cupertino prend depuis peu des mesures coercitives.

Coercitives sans être pour autant définitives puisque pour le moment, la société n’a toujours pas pu déployer un patch correctif sur les terminaux des utilisateurs.

En attendant, Apple a fait supprimer la vidéo explicative des manipulations à réaliser postée par Alexey Borodin et supprimé les comptes Paypal du développeur via lesquels il recevait des fonds de donateurs du monde entier.

Des mesures que n’a pas manqué de contourner Alexey, notamment d’un point de vue financier. Le développeur passe désormais par Bitcoin pour recevoir les dons, a fait changer les serveurs par lesquels transitent les certificats (nous y reviendrons), ainsi que les échanges entre applications et serveurs.

Quant à la vidéo de manipulation en elle-même, elle reste disponible aux endroits habituellement fréquentés par la communauté de la scène jailbreak et de nombreuses versions écrites circulent sur les forums.

Pour revenir brièvement sur la méthode utilisée par Alexey, sachez qu’il s’agit d’un procédé qualifié de “man in the middle” (ndlr : l’homme du milieu en français) dans le jargon de la sécurité informatique.

Le schéma, qui n’a rien à voir avec les terres du milieu

Lors de l’achat d’un produit au sein d’une application, cette dernière communique avec les serveurs d’Apple qui se chargent de la facturation, de la réponse vers l’application et de la génération du reçu de la transaction.

C’est précisément ce reçu (et le certificat associé), qui sont les éléments clés de la manipulation. Alexey se sert donc d’un unique reçu valide, afin de valider les commandes de tous les autres utilisateurs, grâce à un certificat intégré à ses propres serveurs.

Après plusieurs milliers de dollars dépensés en achats in-app afin de valider sa “découverte”, l’homme a mis en place une solution à grande échelle, à base de serveurs auxquels se connectent les terminaux au préalable modifiés.

Selon Apple, le préjudice estimé à ce jour s’élève à 30 000 dollars, auxquels viendront certainement s’ajouter les frais de justice, que ne manqueront pas d’engager la firme pour faire condamner le développeur Alexey Borodin.

L’enjeu est de taille pour Apple pour qui le modèle économique de l’AppStore représente une poule aux oeufs d’or depuis plus de trois ans déjà.

Les développeurs suivent naturellement de près le déroulement de cette affaire à l’heure où le concept “freemium” tend à s’imposer au sein des agences comme auprès des indépendants.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

11 commentaires
  1. pourquoi avoir fermer ces comptes?
    la faille est dévoilé, se pencher sur le colmatage de celle-ci serrai plus importante non?

  2. @Silencieux: Parce qu’il recevait des dons (donc paiement) pour un service illégal qu’il fournissait et qui portait préjudice à une (plusieurs) entreprises.

    C’est plutôt logique comme comportement.

    Surtout que, la faille est effectivement dévoilé, mais la personne qui l’a fait en profite pour se faire pas mal de pognon sur le dos des développeurs / Apple.

  3. Haha les bitcoins… La monnaie la plus sale d’internet (les adeptes de la route de la soie savent de quoi je parle)

  4. @azerty38 Je ne detaillerai pas ici, mais si tu savais a quoi etaient utilises les bitcoins sur le net… paypal, western union y’a encore un minimum de controle (identite, compte banquaire…)

Les commentaires sont fermés.

Mode