Des pirates du groupe AntiSec ont réussi à dérober au FBI 1 million d'UDID de périphériques Apple.
Un UDID, Universally Unique IDentifier, est une valeur hexadécimale de 40 caractères utilisée par les développeurs pour l'enregistrement de leurs périphériques et pour tester leurs applications. En effet, seuls les terminaux enregistrés peuvent exécuter des applications non disponibles sur l'App Store. Actuellement, chaque développeur peut utiliser une centaine d'UDID. Ce n'est toutefois pas réservé aux professionnels : les particuliers en possèdent aussi, principalement pour des services tiers, comme la publicité. Tout comme un identifiant unique, il est peu important seul. Cependant, quand il est recoupé entre plusieurs services, il peut amener à connaître diverses informations personnelles de l'utilisateur. Dernièrement, pas moins d'un million d'UDID ont été directement volés au FBI par des hackers.
Ce sont des membres du groupe AntiSec qui ont publié le document contenant les identifiants de produits Apple (plus précisément, des terminaux iOS). Les enregistrements proviendraient d'un fichier présent sur un ordinateur portable du FBI, et auraient été récupérés au mois de mars dernier. Les autorités se sont exprimées à ce sujet, et ont expliqué par quel moyen les pirates s'étaient introduits dans le système :
Au cours de la deuxième semaine de mars 2012, un ordinateur portable Dell Vostro, utilisé par Christopher K. Stangl, superviseur de l'équipe de cyberaction régionale du FBI et de l'équipe d'intervention du bureau de New York, a été violé à cause de la vulnérabilité AtomicTeferenceArray sur Java. Au cours de la session shell, certains fichiers ont été téléchargés à partir du Bureau. L'un d'entre eux se nommait "NCFTA_iOS_devices_intel.csv". Il s'est avéré qu'il s'agissait d'une liste de 12 367 232 appareils iOS d'Apple, qui incluait l'UDID, le nom d'utilisateur, le nom du périphérique, le type d'appareil, les notifications push d'Apple, le ZipCodes, le numéro de téléphone portable, l'adresse, etc. Les champs personnels détaillés se rapportent à des personnes qui apparaissent plusieurs fois. Pour de nombreuses régions, la liste est inachevée. Aucun autre fichier dans le même dossier ne fait mention de cette liste ni de sa finalité.
En somme, c'est une faille de Java qui a été utilisée. Sur plus de 12 millions d'appareils, le groupe n'en a publié qu'un million, en prenant soin de les dépouiller des informations personnelles. Ainsi, la version d'AntiSec n'inclut que l'identifiant unique du périphérique, les notifications push préalables, le nom du terminal et son type (iPhone ou iPad par exemple).
Actuellement, il n'existe aucun moyen de savoir si un appareil figure sur la liste de ces hackers, à moins d'avoir réussi à la télécharger. De plus, les conséquences réelles de ce piratage ne sont pas tout à fait claires. Bien qu'elle puisse être inoffensive, l'utilisation d'UDID avait déjà été critiquée auprès de la marque à la pomme, en raison des risques qu'elle faisait courir à la confidentialité. Pour l'instant, aucun complément d'information n'a été fourni du côté du FBI, ni sur les raisons de la création de cette liste dans leurs bureaux, ni sur l'usage qu'ils comptaient en faire.
k: