Les applications du Mac App Store piratées ? Une simple négligence des développeurs

Anthony Nelzin-Santos |
skitchedLe bruit court que le Mac App Store serait piraté, que les applications seraient faciles à craquer ou copier… et c'est largement imprécis. Les applications téléchargées sur le Mac App Store contiennent un fichier de reçu du paquet (receipt) signé et chiffré : seule Apple peut générer des fichiers de reçus considérés comme valides. Pour s'assurer que l'application provient bien du Mac App Store et a été acquise légitimement, les applications peuvent vérifier ce fichier de reçu.

Apple fournit (compte développeur obligatoire) cinq étapes pour valider ce fichier de reçu, de la vérification de la présence du fichier de reçu à la vérification du hash de son GUID. On peut en effet « pirater » assez facilement Angry Birds : il suffit de le récupérer chez un ami, y transférer certains fichiers d'une application que l'on a acquis, et il tourne. Et c'est normal : au lieu de vérifier cinq aspects de la validation d'un fichier de reçu, Angry Birds n'en vérifie que deux. Et peut donc être berné.

En testant quelques applications, on s'aperçoit vite qu'assez peu d'applications peuvent être aussi vite détournées, mais le fait que la porte soit ainsi ouverte pose d'ores et déjà un problème. Le développeur Sean Christmann (via) explique de plus que les méthodes décrites par Apple ne sont pas forcément les plus fiables. Elle se base en effet sur un fichier info.plist, facile à repérer et modifier : il conseille donc de tout coder en dur dans son application pour assurer un minimum de sécurité.

Les développeurs devront donc vérifier leur code, et il ne serait d'ailleurs pas étonnant qu'à la faveur du « à peine lancé, déjà piraté », Apple renforce la sécurité de son Mac App Store en excluant les applications qui ne vérifient pas correctement les fichiers de reçu. Premier soubresaut donc pour le Mac App Store.

avatar expertpack | 
Je trouve pour ma part que le hack rappelle cruellement aux developpeurs et vendeurs que leur appli doit etre securisé de maniere efficace, avant de vouloir faire du CA a tout prix Par ailleurs de nombreux hakers sont tres bons et on permis de mettre en evidences des failles qui impactent le consommateur de maniere cruelle et parfois scandaleuse ( banques, securite de nos vies privées, defense ) ce qui permet de renforcer et mieux gerer celle ci . Il y a d'ailleurs des hakers devenus specialistes ou consultants dans ces domaines.
avatar USB09 | 
@ MandrakeTheMagician : Je reste à ce que j'ai dis: c'est inutile, nul et nuisible. C'est. Cause d'action comme ça que : 1. des numéro de série a ne plus en finir. 2 . Des taxes en plus. Après, on a plus qu'a se plaindre. Mais c'est un avis qui ne concerne que moi.
avatar USB09 | 
@ RickDeckard : Ok, mais alors inutile d'en faire un buzz. On se croirait au Farwest de qui a la plus grosse. Suffit d'un coup de fil, monayant le tuyau et l'affaire est réglé , non ?
avatar Bibotonio | 
@MandrakeTheMagician : rien à faire que Steve me respecte ou non. Je vis très bien sans ça, et sans ton agressivité puérile. :-))
avatar Lem3ssie | 
A aucun moment je ne défends le piratage, mais l'attitude du gars qui est meurtri par le warez n'apporte rien, je ne comprends le mécanisme de pensée qui entraine ce sentiment. Dans la vie il n'y a que deux catégories de consommateur: ceux qui cherchent le rapport qualité-prix, et ceux qui cherchent la qualité à tout prix. Chacun place le curseur où il veut, moi je veux des fonctions au meilleur prix, pour ça il y a le Mac app store. Et maintenant ceux qui cherchent la qualité à tout prix si retrouvent aussi avec la Mac app store vu la baisse importante de certains gros logiciels. Que je paie alors que d'autres profitent gratuitement ne me fait ni chaud ni froid, je n'ai ni peur de pirater ni un manque de connaissance, et je ne crois pas être demeurer parce que je paie mes logiciels. Mais revendiquer si fort son mépris des pirates ne m'apparait pas très crédible, ça cache quelque chose.
avatar Bibotonio | 
@lem3ssie : tu as oublié ceux qui veulent la qualité sans y mettre le prix ! Autrement dit : ceux qui veulent le beurre, l'argent du beurre, le Q de la crémière, la crèmerie et le fond de commerce... (humour) Sinon je ne méprise pas les pirates, mais les réactions des mecs qui se vantent de pirater ou qui disent que ça va arriver parce que "c'est tentant". Attitude puérile. Perso, les pirates, les MandrakeTheMagician ou autres huitièmes roues du carrosse peuvent bien me mépriser, ça ne m'empêchera pas de dormir. :-)
avatar saint-christoff | 
Il ya encore des idiots qui croient que protegé leurs applications au maximum empecheras le piratage... Au contraire ça emmerde les utilisateur et les pirates arrivent TOUJOURS a pirater les protections. Perte de temps et d'argent.
avatar Armas | 
Les vérifications de licence sur serveur, ça sucks, ça marche et c'est ultra chiant à contourner. En plus de ça, Apple fait un gros fuck à la communauté des hackers et une petite courbette aux développeurs en leur disant : "vous voyez, le verrouillage, c'est facile et ça plait aux gens, verrouillez vos application".
avatar bugman | 
@ Bibotonio : "Sinon je ne méprise pas les pirates, mais les réactions des mecs qui se vantent de pirater ou qui disent que ça va arriver parce que "c'est tentant". Attitude puérile." Comme c'est moi qui est dit que c'était tentant... C'est quoi qui est puerile ? Le fait de le dire (tu ne va pas me dire que ce n'est pas tentant pour certains hackers, si ?) ? Ou le fait de le faire (de le distribuer) ?
avatar Florent Morin | 
En faisant un hash du info.plist dans le code, on s'assure une certaine sécurité quand même. Une fois le hash vérifié, on peut utilisé les outils d'Apple.
avatar bugman | 
@ FloMo : Je ne comprend pas, ils sont taggés les fichiers "exe" ? (Je n'ai pas téléchargé d'applications via le store pour l'instant.) Dans le cas contraire le checksum du .plist original sera reconnu de toutes façons non ?
avatar bugman | 
@ Armas [07/01/2011 17:23] : Sans blague ? A mon époque (quand j'avais 14/15 ans) ça ce réglait avec quelques NOP et en changeant l'adresse d'un ou deux JMP. Le truc de base, quoi. Si ils n'ont prévu que ça, ils ne vont pas "fucker" grand monde.

Pages

CONNEXION UTILISATEUR