Carte Musique jeune : de nombreuses failles font craindre fraudes et abus
Achat d’applications et non de musique, notamment depuis l’étranger, dépassement du seuil de 25 euros par personne grâce à la simple utilisation de différents emails, absence de contrôle de l’âge… Les abus et fraudes sont possibles.
Pour promouvoir et encourager l’achat légal de musique sur Internet, le ministère de la Culture a lancé son opération carte musique jeune. Via le site carte-musique.gouv.fr, un internaute peut obtenir jusqu’à 25 euros par an de l’Etat, lui donnant droit au minimum à 50 euros de crédits sur les sites partenaires.
Mais le système présente des failles qui permettent plusieurs actions de fraude ou de détournement. Ainsi, la subvention versée par le ministère de la Culture peut être utilisée pour des achats dématérialisés qui n’ont rien à voir avec la musique.
Acheter ses propres applications sur iTunes et empocher une plus-value
Alerté par une source, ZDNet.fr a constaté qu’il était possible grâce au code délivré par le site carte-musique.gouv.fr d’acheter des applications (iPhone, iPod, iPad) sur iTunes aussi bien que des films. Une fois le compte iTunes crédité, Apple n’applique aucune restriction lors de l’utilisation d’un code de carte musique jeune. Dès lors, rien n’interdit d’acheter des logiciels et non de la musique, même si la carte est présentée comme destinée à soutenir la musique légale. Cette procédure a été également constatée par Numerama.
Mais toujours selon notre source, un autre type de fraude est également possible. Pour ce scénario, il est nécessaire de disposer d’un compte développeur et qu’une de ses applications soit en vente sur iTunes. La carte musique jeune permettant l’achat d’application, un développeur fraudeur peut ainsi obtenir 25 euros de l’Etat lui ouvrant sur iTunes un crédit de 50 euros.
Cette somme est ensuite utilisée par le développeur pour acquérir sa propre application, dont le prix doit être le plus proche possible des 50 euros pour permettre d’effectuer une plus-value, une fois la commission d’Apple prélevée.
L’Etat attribue l’aide sur la base d’un simple email
Si un seul achat d’application ne permet pas à un développeur de s’enrichir, rien n’interdit à une même personne de dépasser le seuil des 25 euros en créant pour cela différents comptes via le formulaire du site du ministère. iTunes ne bloque pas un utilisateur qui dépasserait la limite du montant autorisé.
Encore plus simple : détourner la limite d’âge fixée à 25 ans pour bénéficier des avantages de la carte. En effet, sur le formulaire (avec une simple déclaration sur l’honneur) utilisé pour demander sa (ou ses) carte(s) musique, il suffit de saisir une adresse email pour recevoir son code d’activation. Les données personnelles n’étant pas contrôlées, il est très facile pour quiconque de profiter de l’opération.
ZDNet.fr, en utilisant deux adresses emails, a ainsi pu solder un premier crédit de 25 euros (ce qui représente 50 euros d’achat, voire plus selon le site d’e-commerce sélectionné) et grâce à une autre adresse de faire une nouvelle demande. Le seuil de 25 euros par utilisateur n’est donc que théorique et peut facilement être dépassé, y compris donc pour des personnes dont l’âge n’est pas compris entre 12 et 25 ans.
Obtenir plus de 25 euros par personne est très simple
De plus cette fraude peut être masquée grâce à l’utilisation d’un proxy basé à l’étranger. Il serait dès lors plus complexe en cas d’enquête par un service de police d’identifier l’auteur des fraudes caché derrière son seul email.
Par ailleurs, l’opération est en principe destinée aux seuls résidents français. Mais lors d’un test avec un proxy basé en Allemagne, ZDNet.fr a pu également demander un code de Carte musique. Il est donc potentiellement possible, à moins d’un contrôle par le site de vente, pour un non résident de bénéficier d’un achat subventionné.
Enfin, autre scénario de fraude envisageable via la génération de comptes Carte musique par le biais de différents emails : la possibilité pour un salarié malveillant d’une des plates-formes en ligne partenaires d’obtenir des subventions (jusqu’à un maximum de 5 millions d’euros, selon décret officiel) en générant des acheteurs fictifs.
Toutefois si différentes fraudes sont envisageables, l’identification de leurs auteurs restent possible a posteriori grâce aux coordonnées bancaires utilisées pour les achats – sauf si celles-ci ont au préalable fait l’objet d’un vol, via par exemple du phishing.
Finalement, la promotion de la musique sur Internet pour les jeunes pourrait bien déboucher sur un fiasco en raison d’un manque de contrôle (qui relève en fait des failles de l’identité numérique). Les 12-25 ans risquent en tout cas de ne guère profiter de cette opération censée les initier aux vertus de la musique légale. Dommage.
Contacté et informé des risques de fraude avérés, le ministère de la Culture ne s’est guère ému, se contentant de demander à ZDNet.fr de lui adresser ses questions par courrier électronique, à l’adresse standard du service de presse.
Source: ZDNet.fr