Les achats in-App d'Apple rendus gratuits par un hacker russe

D’un point de vue de la sécurité, ce hack remet en cause tout le système d’achat in-App, comme l’appelle Apple. Et d’un point de vue financier, c’est le modèle économique d’une quantité croissante de titres qui est menacé. En effet, de plus en plus de développeurs, petits ou grands, mettent à disposition leur jeu sur l’App Store gratuitement ou pour un coût très faible.

En revanche, pour qui voudra de nouvelles cartes, de nouvelles armes ou développer plus vite son royaume, il sera nécessaire de débourser quelques dizaines de centimes d’euro. C’est le micropaiement, corollaire du free to play, modèle de distribution de plus en plus usité.

Sur son site, sobrement intitulé in-appstore, ZonD80 explique comment il arrive à ses fins en exploitant une faille dans le système de chiffrement du protocole utilisé par Apple, comme l’explique les experts en sécurité de Sophos.

Schématiquement, quand l’utilisateur d’une application achète un contenu complémentaire depuis une application, ce qu’Apple appelle un achat in-App, c’est une conversation à trois voix qui s’ouvre entre l’application, les serveurs des développeurs et l’App Store.

L’idée de ZonD80 revient ni plus ni moins à s’immiscer dans cette discussion et à prendre la parole à la place d’un des interlocuteurs, en l’occurrence celle du kiosque de téléchargements d’Apple. Au moment où l’application envoie une demande de paiement à l’App Store, ZonD80 a trouvé le moyen de faire en sorte que cette requête soit expédiée vers un de ses serveurs. Ce dernier est alors en mesure de renvoyer à l’application un message comme quoi la transaction a bien eu lieu et que l’utilisateur, ayant dûment payé, a droit de télécharger ou débloquer le contenu demandé.

Pour l’instant, le hack de ce jeune Russe ne permet pas de circonvenir les applications les plus sécurisées. Celles-ci transfèrent la preuve de transaction au serveur du développeur pour que ce dernier demande confirmation à l’App Store avant de finalement autoriser le téléchargement. Pour autant, ZonD80 semble prévoir de s’attaquer à ce problème dans le futur afin de pouvoir court-circuiter n’importe quelle méthode d’achat intégrée dans une application iOS.

Pour autant, si cette faille pose un grave problème à Apple et si des experts, au sein de Sophos notamment, rapportent que des dizaines de milliers de téléchargements malhonnêtes ont déjà été effectués, la procédure n’est pas des plus simples. En sus, elle a un mérite, elle implique que l’utilisateur choisit sciemment de télécharger « illégalement ».

En effet, l’utilisateur d’un périphérique iOS a besoin de se livrer à quelques manipulations sur son terminal. Il doit d’abord télécharger et valider deux faux certificats SSL, dont un signé par la fausse autorité de certification. Ensuite, dans les réglages réseau de son iPhone, il faut changer l’adresse IP du serveur DNS afin que l’application s’adresse au faux App Store.

Evidemment, Apple a diligenté une enquête sur les méthodes de chiffrement utilisées pour tenter de circonscrire cette faille de sécurité.