Directeur adjoint de la sécurité à l'université Bucknell (Lewisburg, Pennsylvanie, USA), Eric Smith rappelle que chaque iPhone, iPod touch ou iPad est muni d'un UDID, un identifiant unique. Cet identifiant est utile aux développeurs : il leur permet par exemple de générer des certificats pour l'installation d'applications ad-hoc. Pour Smith, pourtant, il représente un potentiel risque de sécurité.

Apple pousse à l'utilisation de l'UDID, par exemple pour stocker les scores d'un jeu sur un serveur central, ou pour enregistrer à distance les préférences d'une application. Elle prévient néanmoins qu'il ne faut pas associer l'UDID avec une donnée permettant d'identifier l'utilisateur du téléphone : il ne faut donc pas stocker UDID et compte iTunes, ou UDID et informations de géolocalisation. Apple avait déjà expliqué faire en sorte qu'il soit impossible de remonter à un utilisateur en particulier lors de l'utilisation de données sensibles (lire : Collecte des données : Apple s'explique ).

Smith estime qu'il y a pourtant un risque que certains développeurs malveillants utilisent cette possibilité pour collecter trop de données. Il reconnaît en creux qu'il surfe sur la vague des travaux plus ou moins fouillés sur la vie privée, mais estime que ce risque est suffisamment important pour qu'il faille en parler. Il a ainsi testé 57 applications, dont les 25 plus populaires de l'App Store, et les plus populaires parmi la section Actualités. Selon lui, 68 % transmettent l'UDID à un serveur distant, la plupart du temps un serveur du développeur, plus rarement un serveur de statistiques (on retrouve Flurry, lire : Flurry répond à la pique de Steve Jobs ) ou d'une régie publicitaire (notamment AdMob). Certaines applications transmettent des données via SSL : il n'a donc pu vérifier le contenu des données sortantes.

Que l'UDID soit envoyé à un serveur distant n'est donc en soit pas un problème. Le problème est la possibilité de pouvoir lier à cet UDID une identité réelle : des applications comme Amazon, Facebook ou Twitter le font, en liant à un UDID un compte utilisateur. L'utilité de l'exploitation de ces données reste à prouver, mais le fait est que ces applications permettent l'identification d'une personne physique. Certaines applications pourraient aller plus loin : ayant accès aux informations de localisation de l'iPhone, elles pourraient en plus localiser l'utilisateur. Smith se dit surpris de voir que certaines applications comme des jeux utilisent les données de localisation, tout en reconnaissant qu'elles demandent la permission de l'utilisateur pour le faire.

L'article de Smith n'apporte pas grand-chose de nouveau : on sait depuis longtemps qu'il est possible de transmettre un UDID. Il pose cependant deux questions : celle de la possibilité d'un détournement de ce système (mais en matière de sécurité, tout est toujours possible), et celle, peut-être plus importante au final, de ces applications liant UDID et compte utilisateur, malgré les règles édictées par Apple : Twitter, Facebook et Amazon ont-elles besoin de transmettre l'UDID ?

PSKL via Engadget