Récemment, des hackers mettaient en ligne un fichier contenant les identifiants Apple d'un million de personnes. L'origine de la fuite et la manière dont ont été acquis les UDID sont enfin connus.
Un UDID, Universally Unique IDentifier, est une valeur hexadécimale de 40 caractères qui équipe tous les terminaux iOS et est principalement utilisée par les développeurs. Pour ce qui est des particuliers, ce sont essentiellement des services tiers, comme la publicité, qui en font un usage fréquent. Ces UDID permettent effectivement d'obtenir différentes informations personnelles de l'utilisateur, notamment quand ils sont recoupés entre plusieurs services. Dernièrement, ce sont pas moins de 12 millions d'UDID qui auraient été volés directement au FBI. Parmis ces identifiants, un fichier en contenant un million a été publié sur Internet par le groupe AntiSec, une branche d'Anonymous, qui a revendiqué l'attaque. Le document contient l'identifiant du produit Apple, mais également des informations telles que le nom du terminal et son type (iPhone ou iPad par exemple). À noter que le fichier dérobé se constituait également, d'après les hackers, du nom et prénom de l'utilisateur ainsi que de son adresse et son numéro de téléphone.
D'après les pirates, l'attaque au sein du FBI serait survenue au mois de mars dernier, mais ils auraient décidé récemment de publier une partie de leur butin. Suite à cette publication, plusieurs questions étaient apparues : pour quelles raisons et quel usage le bureau fédéral détient-il ses informations, et qui les leur a fournies ? La marque à la pomme s'était empréssée de commenter l'incident il y a quelques jours :
Le FBI n'a pas demandé ces informations auprès d'Apple, et nous ne les avons pas fournies au FBI ou à toute autre organisation. En outre, avec iOS 6, nous introduirons une nouvelle série d'API ayant pour but de remplacer l'utilisation des UDID, qui sera bientôt interdite.
Après cette déclaration, le FBI en avait fait une seconde en indiquant qu'il n'y avait aucune preuve que l'ordinateur portable avait été compromis et que des informations aient été volées. Cependant, dans un premier rapport, le bureau fédéral indique qu'un ordinateur portable, avec mention du modèle et de l'utilisateur, a bien été piraté et qu'un fichier, avec son nom, a été dérobé. Mais alors, cela cacherait-il quelque chose ? Un tel fichier existe-t-il réellement chez eux ? Au vue des informations obtenus dernièrement, il est peu probable qu'une réponse à ces questions voient le jour.
En effet, il semblerait bien que la fuite ne vienne pas du FBI. Une société américaine du nom de BlueToad a reconnu auprès de la NBCNews que ses serveurs avaient été piratés il y a environ deux semaines.
Logo de BlueToad
BlueToad est une entreprise spécialisée dans l'édition numérique qui aide les éditeurs de presse à transformer leurs contenus en applications mobiles, par exemple, pour ensuite les monétiser auprès de leurs lecteurs. Le PDG, Paul DeHart, a déclaré à la NBCNews que près de 98 % des données de la liste publiée par les hackers contenaient des informations stockées sur leurs serveurs. Suite à cela, la marque à la pomme a indiqué qu'en tant que développeur, l'entreprise américaine avait accès à des informations sur le périphérique de l'utilisateur, comme l'UDID ou le type, mais en aucun cas à des informations personnelles comme le mot de passe ou la carte de crédit, à moins qu'un mobinaute n'ait fourni de lui-même les informations.
L'entreprise, après avoir posté un message sur son site internet, a déclaré qu'elle laisserait le soin aux développeurs de communiquer avec les clients concernés par la liste d'AntiSec.
Pour l'heure, des questions subsistent encore. Le groupe assure avoir acquis les UDID il y a un moment et en avoir récupéré pas moins de 12 millions. Toutefois, la société américaine ne dit rien au sujet de ce chiffre et indique avoir été piratée il y a seulement deux semaines.
Mais alors, les hackers tentent-ils de se faire mousser ou des informations sont-elles bel et bien disponibles auprès du FBI ?
