Achats in-app : Apple prend des mesures

Apple

Par Moe le

Face à la faille mise en lumière par le développeur russe Alexey Borodin au sein des achats in-app du de l’AppStore, la firme de Cupertino prend depuis peu des mesures coercitives.

Coercitives sans être pour autant définitives puisque pour le moment, la société n’a toujours pas pu déployer un patch correctif sur les terminaux des utilisateurs.

En attendant, Apple a fait supprimer la vidéo explicative des manipulations à réaliser postée par Alexey Borodin et supprimé les comptes Paypal du développeur via lesquels il recevait des fonds de donateurs du monde entier.

Des mesures que n’a pas manqué de contourner Alexey, notamment d’un point de vue financier. Le développeur passe désormais par Bitcoin pour recevoir les dons, a fait changer les serveurs par lesquels transitent les certificats (nous y reviendrons), ainsi que les échanges entre applications et serveurs.

Quant à la vidéo de manipulation en elle-même, elle reste disponible aux endroits habituellement fréquentés par la communauté de la scène jailbreak et de nombreuses versions écrites circulent sur les forums.

Pour revenir brièvement sur la méthode utilisée par Alexey, sachez qu’il s’agit d’un procédé qualifié de « man in the middle » (ndlr : l’homme du milieu en français) dans le jargon de la sécurité informatique.

Le schéma, qui n’a rien à voir avec les terres du milieu

Lors de l’achat d’un produit au sein d’une application, cette dernière communique avec les serveurs d’Apple qui se chargent de la facturation, de la réponse vers l’application et de la génération du reçu de la transaction.

C’est précisément ce reçu (et le certificat associé), qui sont les éléments clés de la manipulation. Alexey se sert donc d’un unique reçu valide, afin de valider les commandes de tous les autres utilisateurs, grâce à un certificat intégré à ses propres serveurs.

Après plusieurs milliers de dollars dépensés en achats in-app afin de valider sa « découverte », l’homme a mis en place une solution à grande échelle, à base de serveurs auxquels se connectent les terminaux au préalable modifiés.

Selon Apple, le préjudice estimé à ce jour s’élève à 30 000 dollars, auxquels viendront certainement s’ajouter les frais de justice, que ne manqueront pas d’engager la firme pour faire condamner le développeur Alexey Borodin.

L’enjeu est de taille pour Apple pour qui le modèle économique de l’AppStore représente une poule aux oeufs d’or depuis plus de trois ans déjà.

Les développeurs suivent naturellement de près le déroulement de cette affaire à l’heure où le concept « freemium » tend à s’imposer au sein des agences comme auprès des indépendants.