Achats in-app : Apple réagit face à une faille de son service de paiement

Un développeur russe a publié le week-end dernier une méthode permettant de disposer gratuitement d'éléments normalement payant dans les applications iOS. Une situation qui a poussé Apple à sortir de son mutisme, pour annoncer qu'il travaille actuellement sur un correctif de son système d'achat in-app.

Découverte par un hacker russe se faisant appeler ZonD80, cette faille du système de paiement in-app d'Apple permet d'accéder à du contenu payant sans sortir son porte-monnaie virtuel en passant par un serveur distant configuré pour l'occasion. La méthode employée ne nécessite pas de jailbreak et s'avère assez simple à mettre en place sur un terminal doté d'iOS 3.0 à 6.0 : autant dire que la faille dispose d'un large spectre d'action, laissant entendre qu'elle est active depuis bien longtemps, sans qu'Apple ne se soit jusque-là penché sur la question.

Le hacker russe exploite même cette faille à travers un site, in-appstore.com, qui mène actuellement une campagne de dons visant à développer le projet et assurer le fonctionnement des serveurs. La méthode pour exploiter la faille est également détaillée sur le site. Selon The Next Web, 30 000 transactions illégales auraient été faites via ce système durant les derniers jours.

9 To 5 Mac explique que, selon le hacker, seuls les développeurs qui utilisent leurs propres serveurs pour valider les achats in-app sont actuellement en mesure d'esquiver le hack, et donc de ne pas perdre d'argent. Pour les autres, la faille pourrait s'avérer catastrophique, financièrement parlant.

Une situation qui a poussé Apple à réagir publiquement, en répondant à la demande de commentaire du site The Loop : « La sécurité de l'App Store est incroyablement importante pour nous et pour la communauté des développeurs. Nos prenons les rapports d'activités frauduleuses très au sérieux et nous les étudions. » On imagine donc de la firme de Cupertino publiera prochainement un correctif pour pallier le problème.