F-Secure analyse l'utilisation frauduleuse de comptes iTunes

Sean Sullivan, conseiller sécurité chez les finlandais de F-Secure - vendeur d'anti-virus et de solutions de sécurité - propose son analyse après l'utilisation frauduleuses d'environ 400 comptes iTunes, utilisés pour acheter et promouvoir certains applications de l'App Store. Selon lui, des attaques très classiques, notamment du phishing, seraient vraisemblablement la cause du problème, couplés à une gestion des droits jugée permissive par iTunes.

Les mots de passes iTunes auraient été récupérés lors de campagnes de phishing, dont la cible aurait pu être plus large que les seuls utilisateurs du service : parmi les possibilités fortement plausibles, il y a celle d'attaques phishing sur les services de webmail les plus utilisés, comme HotMail, ou GMail explique-t-il. Une fois le mot de passe à ces services obtenus, il ne reste plus qu'à les essayer sur les comptes iTunes enregistrés avec ce mail. Selon F-Secure, plus de 20 % des utilisateurs se servent d'un mot de passe identique sur les divers services.

Apple, cependant, rendrait la chose plus aisée, notamment en ne vérifiant pas la localisation géographique d'un utilisateur qui accède à un compte iTunes. Il est très possible d'utiliser, au Vietnam, un compte iTunes US. Amazon prohibe ce type d'utilisation, avec, côté revers de la médaille, l'impossibilité pour les utilisateurs en déplacement hors de leur pays d'accéder à leur compte.

Source