Profitez des offres Memoirevive.ch!
iTunes store: « L’identification Apple spécifiée n’existe pas »

Une mésaventure que je vais vous conter et le billet de François remettent en actualité la sécurité liée à nos ordinateurs individuels, y compris sur Mac. Encore que pour ce qui m'est arrivé, je persiste à douter que mon Mac ait fait l'objet d'une "attaque" directe.

Voici l'histoire.

Le 14 Janvier 2010, je veux mettre à jour 2 applications pour iPhone dans iTunes.

Je suis connecté à mon compte iTunes Store comme le montre 

image

mais surprise

image

 

..... car 

1- je suis reconnu, puisqu'apparaissent, l'un sous l'autre, mon adresse e mail qui sert d'identifiant, et le "Bonjour xxxxx" :  je n'ai jamais pris garde à fermer la session après avoir utilisé le store !

2- je ne touche jamais à ces paramètres de connexion

Après la 3 ème tentative apparait 

image

Comme je n'ai apparemment pas d'autre solution, je clique ....

image

Mon identification n'est plus reconnue, moi, oui moi, Apple user depuis 1977 ayant débuté avec un Apple ][ avec 48 Ko de RAM et 2 lecteurs de disquettes dont un avec contrôleur !!! 

Je recommence plusieurs fois, rien à faire, je suis Applorphelin !!! :-((((

J'adresse un e mail au SAMU (Service Apple pour Mac Unilatéralement-en-panne). Il faut être patient, une journée en règle, mais Mademoiselle M. s'attache à mon cas et se révélera tout au long de cette histoire d'une patience angélique, d'un professionnalisme compétent, mesuré et hors pair.

Mademoiselle M m'adresse une première réponse qui tient en 4 points exhaustifs et didactiques. 

1 - aller voir cette instruction dans la Apple Knowledge Base

2 - se débarrasser d'un fichier appelé SC Info situé dans /Users/Shared/SC Info

3 - Désinstaller iTunes, ce qui passe par 2 étapes 

4 - Installer iTunes à nouveau

Je m'exécute .... Rien n'a changé, je reste étranger à l'iTunes Store.

Pensant être plus fort que le système, je raisonne, bêtement, la suite va le montrer: si l'habituelle identité n'est plus reconnue, je n'ai qu'à la recréer. C'est ainsi que je créée un compte possédant mon ancienne identité avec son mot de passe, sans aucune difficulté.

Et ben non, ça marche pas: 

  1. ce second ysengrain@wanadoo.fr ne compte pas. Je peux me connecter, acheter/télecharger une application .... 
  2. Mais quand je synchronise l'iPhone .... Yell badaboum, à l'exception des apps natives de l'iPhone, plus aucune app achetée ou gratuite n'est fonctionnelle.
  3. la musique, "ma musique" est devenue inaccessible

image

Si je clique dans Autoriser

image

 

On tourne en rond.

La charmante Mademoiselle M. fait des recherches et m'informe que (je passe sur certains détails

image

Le 1er compte de cette liste est celui que j'ai créé, en faisant le malin et en tentant de surmonter les difficultés. ysengrain@yes.fr est sans doute "mon" compte.

J'informe Mademoiselle M. que 

1 - je ne connais pas ce compte, ne l'ai pas créé, ne l'ai pas renommé

2 - je ne peux pas y accéder n'ayant pas le mot de passe

Je parviens à voir une petite fumée au dessus de cet endroit d'Irlande, avec mon télescope 

image

chez Apple Computers Limited‎, Hollyhill Industrial Estate, Cork, Ireland; ‎puis la fumée cesse brusquement et mon téléphone sonne:

"Bonjour, Ysengrain, c'est Mademoiselle M, avez-vous un instant à m'accorder ?"

..... 

Ysengrain: Quand a eu lieu la modification de l'identifiant du compte ?

Mademoiselle M.: le 8 novembre 2009 !!

Mademoiselle M. m'indique la stratégie qu'elle va employer: désactiver le nouveau compte ysengrain@wanadoo.fr que j'avais indûment créé et renommer "mon" compte de yes.fr  en wanadoo.fr

Elle m'indique aussi quelques astuces de sécurité

1 - 

image

 

après toute utilisation de l'iTunes store

 

2- ne pas indiquer de moyen de paiement dans les données du compte

Quelques minutes après, j'accède au compte, en saisis les mots de passe, paramètres de sécurité .. Et après une synchronisation mon iPhone est à nouveau en ordre de marche. Au fait, vous vous souvenez, vous, comment on faisait, avant, sans iPhone, moi maintenant, oui !!

Quelques remarques et observations.

 

Le dimanche 8 novembre 2009, date de la maodification du compte, je sais ne pas avoir allumé mon Mac.

 

Si la modification des identifiants du compte était acquise dès ce moment, je n'aurais plus été en mesure 

de

  • synchroniser avec le compte tel qu'il était

image

or, je synchronise une fois par jour, ne serait-ce que pour sauvegarder le contenu de l'iPhone

  • de lire la musique achetée, or, iTunes lit la musique du Mac de 6h30 du matin à 22h30 quand je travaille. Je n'ai jamais eu la moindre difficulté avec cet aspect entre le 8/11 et le jour où cette aventure a débuté.
  • d'acheter des applications. 

Or la liste des factures adressée par l'iTunes store indique le contraire

image

Il me parait assez étonnant de pirater un compte et d'attendre pratiquement 5 semaines pour s'en servir. Or ysengrain@yes.fr a fait en une fois, tous les achats que lui permettait l'accès au compte le 15 janvier 2010

image

et sur ces points, Mademoiselle M ne sait pas répondre.

Déboire financier ? Vous les avez sous les yeux. Aucune autre transaction frauduleuse n'a eu lieu sur mon compte bancaire.

Je vais voir à la gendarmerie s'il y a moyen de remonter les adresses IP de là ..., mais j'imagine que l'auteur est assez malin pour se protéger.

Enfin, pour clore ce sujet, être victime d'un escroc dans ces conditions est assez râlant. En effet, j'avais déjà correspondu avec le SAMU pour signaler l'impossibilité d'utiliser une e carte bleue qui donne l'assurance d'une sécurité de haut niveau:

  • une transaction génère un numéro de carte unique
  • le montant indiqué par l'utilisateur ne peut être dépassé de plus de 3%

Sauf... sauf .... qu'Apple n'en veut pas pour l'iTunes store .... mais ... l'accepte pour tout autre achat (j'ai acheté sur l'Apple store un MacBook Pro, deux imprimantes, plusieurs applications, ...). La raison invoquée est un problème d'autorisations .. que seul l'iTunes store parait avoir.

À propos de yes.fr, un "Traceroute" sur yes.fr donne ceci

image

et gandi.net a pignon sur rue.

Je n'ai aucune preuve matérielle de ce que je vais avancer.

Je ne crois pas que mon Mac ait été hacké. Les paramètres de sécurité inclus dans Snow Leopard, protègent, a priori contre des intrusions. 

Le seul "accès externe" possible sur mon Mac me parait être 

image

ce qui me parait difficile à invoquer pour pouvoir hacker mon MBP.

Quant à penser que le serveur de l'iTunes store ait été hacké, je peux le penser, mais n'ayant aucune connaissance dans ce domaine, je laisse à vos commentaires les suggestions.

Enfin, faites moi part de votre expérience, je n'ai pratiquement trouvé aucun cas identique.

 

 

Ysengrain

P.S. Mademoiselle M qui m'a si bien aidé, appelé 3 fois au téléphone, mille mercis.

 

image

15 commentaires
2)
timber
, le 02.03.2010 à 08:38
[modifier]

Auriez vous utilisé vos identifiants Apple sur un autre ordi que le votre? Ne serait ce que pour une interaction quelconque avec le site Apple? Dans ce cas, un keylogger pouvait être installé sur cette machine et avoir enregistré vos données de connection.

3)
Chichille
, le 02.03.2010 à 09:13
[modifier]

Mon identification n’est plus reconnue

J’ai un problème du même genre avec SFR pour la consultation de mes factures, problème que je n’ai pas encore résolu, mais ici, je crois plutôt à une mauvaise conception des sécurités du site, qui n’est pas un chef-d’œuvre d’ergonomie et d’efficacité. Pas encore de problèmes de gros sous… mais c’est peut-être parce que je n’ai pas vu la facture !

4)
jp
, le 02.03.2010 à 09:25
[modifier]

Personnellement, je penserais plutôt à un problème du côté d’Apple. iTunes store n’est qu’un gros logiciel donc avec des bugs..

5)
Inconnu
, le 02.03.2010 à 10:14
[modifier]

Étrange affaire, mais tu aurais du pouvoir écouter ta musique puisqu’iTunes a abandonné les DRMs, peut-être devrait tu mettre à jour tes morceaux ?

6)
ysengrain
, le 02.03.2010 à 10:18
[modifier]

Auriez vous utilisé vos identifiants Apple sur un autre ordi que le votre? Ne serait ce que pour une interaction quelconque avec le site Apple? Dans ce cas, un keylogger pouvait être installé sur cette machine et avoir enregistré vos données de connection.

Oui, sur un autre Powerbook Titanium qui n’a pas quitté mon domicile depuis des années et dont je me sers seul. Il est toujours éteint quand je ne m’en sers pas.

7)
Guillôme
, le 02.03.2010 à 12:42
[modifier]

Il est plus probable que ce soit un méli-mélo de session d’identification du côté Apple, où un utilisateur s’est retrouvé à utiliser ton compte!

Récemment, il y a eu un méli-mélo des comptes développeurs iPhone, avec des personnes ayant accès au compte Microsoft ou Adobe par exemple (je n’arrive plus à retrouver le lien de la dépêche).

L’essentiel c’est que tout soit rentré dans l’ordre.

8)
ysengrain
, le 02.03.2010 à 12:50
[modifier]

Il est plus probable ….. où un utilisateur s’est retrouvé à utiliser ton compte!

… et s’y est plu à tel point qu’il m’a piqué un peu plus de 200 € de “musique de sauvage”.

9)
zit
, le 02.03.2010 à 14:44
[modifier]

Ça fout les chocottes !

Je n’ai jamais acheté qu’un seul morceau (jamais sorti sur disque) sur l’ithune store, pas pressé de recommencer, je préfère pouvoir toucher les disques (c’est pas à cause de moi que les majors perdent des sous !).

z (en tout cas, bravo mademoiselle M, je répêêêêêêêête : et vive les disquaires….)

10)
jp
, le 02.03.2010 à 14:48
[modifier]

Tu veux dire qu’Apple ne t’a pas remboursé !!!! Fais tout de suite opposition au payement et saisi ta protection juridique ! Si ils ne veulent pas te rembourser, menace les de rendre l’affaire publique et de la communiquer à des associations de consommateurs. Ils ne devraient pas prendre le risque pour 200€…

11)
ysengrain
, le 02.03.2010 à 16:01
[modifier]

Tu veux dire qu’Apple ne t’a pas remboursé !!!!

Puis je faire remarquer

1- un paiement frauduleux par une carte bancaire entraîne automatiquement le dépôt d’une plainte auprès du Procureur de la République: ce que j’ai fait

2- j’ai transmis le dossier à ma banque qui va mettre en oeuvre la procédure prévue dans le contrat d’assurance attaché à l’obtention d’une carte bancaire

3- je ne vais pas menacer Apple de quoi que ce soit, dans la mesure où la société “iTunes” basé au Luxembourg et ma banque sont en liaison pour pister le fraudeur et j’ai d’ores et déjà de bonnes raisons de penser que …. De plus, je ne peux pas prouver ma bonne foi vis-à-vis d’Apple: rien, aucun élément ne vient corroborer mes allégations. Apple possède la trace des connexions sous forme d’adresse IP, on verra bien, je suis assez serein.

12)
fxc
, le 02.03.2010 à 22:26
[modifier]

Merci pour ce retour d’expérience.

Mes achats sur le store ce font uniquement par carte prépayée achetée dans certaines enseignes, cela limite les dégats collatéraux toujours possible.

Il y a même eu il y a peu une promo:

“deux pour le prix de trois”

13)
CHD
, le 02.03.2010 à 23:32
[modifier]

Si les jetons de sessions utilisé par Apple n’expirent pas automatiquement, c’est une véritable provocation pour les pirates qui disposent alors de tout leur temps pour forger un jeton valide et ainsi voler la session !! En général on conseil 5 minutes (20 grand maximum) pour une session et, bien sur, de TOUJOURS la fermer proprement dès que l’on en a plus besoin.

Sinon, je confirme que pour ce type d’attaque ton mac n’a pas nécessairement été piraté (bien sûr ce n’est pas une garantie absolue). Au fait ton mot de passe était-il suffisamment endurci pour résister a une attaque de type force brute ?

14)
ysengrain
, le 03.03.2010 à 07:00
[modifier]

Au fait ton mot de passe était-il suffisamment endurci pour résister a une attaque de type force brute ?

Je le croyais, la suite pourrait prouver que probablement non.

15)
orang
, le 06.03.2010 à 23:41
[modifier]

j’avais déjà correspondu avec le SAMU pour signaler l’impossibilité d’utiliser une e carte bleue

C’est bizarre. J’ai utilisé depuis plusieurs années un numéro de e-carte bleue pour mes achats sur l’itunes store, sans aucun problème jusqu’ici. Le principal avantage que j’y vois est de limiter le montant qui peut être utilisé en cas de fraude ou d’étourderie.

Peut-être ces problèmes d’autorisation dépendent-ils des banques ?