L’AppStore piraté par un jeune hacker russe

Alexeï Borodine, 21 ans, a trouvé le moyen de pirater l’AppStore, magasin de biens virtuels de la marque Apple. Le jeune homme a ensuite dévoilé sa méthode, toujours efficace à ce jour, dans une vidéo disponible sur le site Youtube depuis une semaine.  Les concepteurs d'applications pour smartphones et tablettes numériques vendent à leurs utilisateurs des biens virtuels : il est ainsi possible d’acquérir de nouveaux équipements payants pour les différents jeux disponibles à la vente. Borodine a mis au point un système qui permet d'accéder à ces différentes options gratuitement.  Le propriétaire d'un iPhone ou d'un iPad doit tout d’abord modifier la configuration de son appareil en y enregistrant des certificats spéciaux. Puis, il lui faut changer ses paramètres de connexion WiFi. Il peut ensuite accéder librement aux téléchargements. Il n'a même pas besoin de débrider son iPhone ou son iPad.

« Lorsqu’un utilisateur effectue un achat in-app, l'application envoie une requête à l’AppStore qui génère un reçu avant de le transmettre au serveur du concepteur pour vérification. Puis, les données sont renvoyées vers l'AppStore qui finalise l'achat et autorise le téléchargement du bien à partir du serveur du concepteur », explique Alexandre Matrossov, directeur du Centre de recherche anti-virus de l'entreprise Eset. Selon lui, Borodine aurait découvert que les données échangées entre les serveurs de l'AppStore et les concepteurs  ne seraient pas cryptées ; les contrefaire serait dès lors un jeu d’enfant.  

Vendredi, la faille a été dévoilée de l’autre côté du globe par le site internet 9 to 5 Mac. « 30 000 téléchargements gratuits avaient déjà été effectués », a précisé Borodine à l'édition The Next Web. Le jeune homme explique avoir mis au point ce système de piratage en réponse à l’attitude choquante des concepteurs du jeu CSR Racing qui contraignent les utilisateurs à acheter du contenu additionnel.

« Apple enquête sur les échanges concernant la faille qui touche le système d'achats in-app, a expliqué Natalie Harrisson, porte-parole de l'entreprise, à la revue Los Angeles Times. La sécurité de l'AppStore représente un enjeu capital pour nous  comme pour la communauté des concepteurs ».

Pourtant, lundi, le système de contournement d'achats in-app fonctionnait toujours. Pour Borodine, « les achats au sein des applications ne font pas l'objet d'une licence. Vous investissez dans du contenu virtuel, non tangible : vous pouvez installer le jeu Cut the Rope, dépenser 200$ en in-app, effacer l’application, l'installer à nouveau et vous retrouver sans rien.  Le concepteur ne répond de rien », s'insurge Borodine. Si les représentants d'Apple ne l'ont pas contacté, le jeune homme reconnaît avoir été contacté par des concepteurs d'applications en vente sur l’AppStore. « Certains me qualifient de voleur, d’autres s'enthousiasment et me proposent du travail. » Alexeï Borodine assure qu'il ne sait pas combien d’utilisateurs ont eu recours à sa technique. Il ne tient plus de comptes depuis vendredi.  

D’après Mikhaïl Lianine, directeur général de l’entreprise Zeptolab, le concepteur du jeu Cut the Rope  aurait lui-même réussi à bloquer le flot de téléchargements gratuits. Seule une poignée d'utilisateurs aurait profité de la faille : Zeptolab n’envisagerait donc pas de priver de l'application téléchargée ceux qui auraient mis à profit la méthode proposée par Borodine.  « Cette faille n'a pas affecté le téléchargement in-app des jeux virtuels proposés par la compagnie russe Game Insight », se réjouit la fondatrice de l'entreprise Alissa Tchoumatchenko.

« Cette technique a pu voir le jour parce qu’Apple ne chiffre pas les données des utilisateurs pendant qu’ils effectuent des achats in-app, souligne Kirill Leonov,  représentant de l'entreprise Doctor Web, spécialisée dans la vente d’anti-virus. Pour améliorer la sécurité du magasin en ligne, Apple aurait pu restreindre la marge de manœuvre des utilisateurs vis-à-vis des paramètres d'accès internet. » D'après lui, c’est la première fois que l'AppStore est soumis à une telle attaque pirate. Cependant, seul un nombre réduit d'applications ont été touchées.

Texte intégral disponible en russe sur le site vedomosti.ru.

Dans le cadre d'une utilisation des contenus de Russia Beyond, la mention des sources est obligatoire.