C’est une nouvelle méthode pour les escrocs qui leur permet de voler de l’argent sans attaquer directement les comptes bancaires de leurs victimes, mais en passant par un intermédiaire. Dimanche, le site Internet The Next Web a révélé qu’un développeur dont les applications pour iPhone étaient référencées sur l’App Store a réussi à monter dans le classement des meilleures ventes en piratant des comptes iTunes pour ordonner des achats de ses applications (sans que la méthode soit explicitée). Le développeur, Thuat Nguyen, a ainsi placé une quarantaine de livres en vietnamien dans le top international de la section « livres payants » d’iTunes, et détourné des milliers de dollars effectivement prélevés sur les comptes de ses victimes.
Apple a implicitement reconnu le problème, en supprimant les applications litigieuses et en désactivant le compte du développeur. Aussitôt, le site spécialisé Macrumors a défendu Apple en affirmant que le problème était limité à quelques centaines d’utilisateurs sur la centaine de millions que compte la plate-forme. Il a en effet calculé que pour être dans le top 50 des livres payants, il faut en vendre entre 50 et 100 par jour, donc que statistiquement That Nguyen n’a pas eu besoin de pirater un nombre très important de comptes pour parvenir à ses fins. Il a voulu dédramatiser l’information en expliquant que les problèmes de détournement de comptes n’étaient pas nouveaux (sic), puisqu’il a même un sujet dédié sur son forum depuis janvier 2008.
Ce lundi, The Next Web réplique en révélant que le problème est loin d’être limité au seul Thuat Nguyen. Le site met au jour plusieurs « fermes d’applications », toutes basées sur le même schéma d’escroquerie. Toujours basés en Asie, sans doute pour décourager les poursuites, les « fermiers » créent des applications sans grande valeur ajoutée qu’ils placent sur l’App Store en grand nombre. Ils piratent ensuite une multitude de comptes iTunes pour acheter ces applications, et générer de nombreuses micro-transactions qui, cumulées, leur apportent un chiffre d’affaires important.
Les victimes « achèteraient » ainsi contre leur gré d’abord de petites applications entre 1 et 3 dollars, puis au moins une application vendue plus de 90 dollars. The Next Web rapporte que les sommes prélevées sur les comptes piratés iraient de 100 à 1400 dollars, selon les témoignages qu’il a recueillis. La pratique daterait d’au moins quatre semaines.
Par sécurité, il est fortement recommandé de modifier votre mot de passe iTunes, et de supprimer les informations de carte bancaire qui y sont associées.