Fichier d'UDID : le FBI n'a pas la « preuve » de son implication

Florian Innocente |

Le FBI a adressé une réponse à AllThingD à propos du listing d'UDID qui aurait été trouvé sur le portable de l'un de ses agents spécialisés en cybercriminalité. Un communiqué reprend cette déclaration.

« Le FBI a eu connaissance d'articles affirmant qu'un portable du FBI avait été piraté et que des données privées relatives à des UDID Apple avaient été rendues publiques. A cette heure il n'y a aucune preuve indiquant qu'un portable du FBI a été piraté ou que le FBI ait demandé ou obtenu ces données. »

Une réponse en demi-teinte - ce n'est pas un démenti pur et dur - qui n'apporte pas plus d'informations sur la nature de ce fichier. Un tweet de l'agence fédérale, envoyé avant la publication du communiqué, affirme les choses plus directement « Nous n'avons jamais eu les informations en question. En résumé, c'est totalement faux ».

Le groupe de hackers responsable de sa publication - et qui affirmait l'avoir subtilisé sur la machine d'un agent - avait expliqué qu'il ne communiquerait plus sur le sujet ni ne répondrait à des interviews tant qu'un rédacteur du site Gawker n'aurait pas une photo de lui habillé en tutu publiée pendant une journée sur la page d'accueil du site… (lire Une liste d'un million d'UDID iOS mise en circulation après un piratage).

Adrian Chen, le journaliste visé, y voit une petite vengeance suite à certains de ses articles passés sur les actions des Anonymous. Quant à l'agent du FBI, Christopher Stangl, The Register rappelle qu'il avait participé en janvier dernier à une conférence avec Scotland Yard sur les progrès d'une enquête visant les Anonymous. Un chat dans lequel des hackers s'étaient invités.

Un écheveau compliqué qui ne participe pas à éclaircir les tenants et les aboutissants de cette curieuse affaire qui oscille entre sérieux et grotesque.

Tags
#UDID #piratage
avatar Miniwilly | 
@et donc plus java Tu n'as pas du bien comprendre. Java (qui n'existe d'ailleurs pas sur iOS) est la porte d'entrée vers l'ordinateur portable de l'agent (si tenté que cela soit vrai) sur lequel le fichier était entreposé. En aucun cas cela ne nous divulgue l'origine de la fuite qui a permis de constituer un tel fichier (une application, un hack de iOS, Apple directement dans le cadre des échanges avec les agences gouvernementales). Les sources possibles sont très nombreuses et il ne sera pas facile d'avoir le fin mot de cette fuite assez énorme il faut bien le dire.
avatar drkiriko | 
D'un côté être "suivi" c'est pas bien, mais bon, quand on a rien à se reprocher, ça l'avantage de protéger la société de certaines malfaisances de façon assez transparente et invisible. Et puis crier pour non respect de notre vie privée tout en balançant sur Facebook, etc... les photos de nos gosses ou sa vie privé sur un mur, ça me fait doucement rigoler.
avatar agerber | 
Voila qui en dit long sur le fameux cloud basé aux états unis surtout pour les entreprises.. Des portes ouvertes a tout vent . Ce truc hyper hype que l'on nous vend a toutes les sauces.. D'autant plus drôle que les supports de stockage local n'ont jamais été aussi élevés.
avatar YanDerS | 
Pas que basé aux états unis uniquement. Dès que les données sont externalisées sur des serveurs tiers, leur confidentialité s'effondre pour être réduite à pas grand chose
avatar Miniwilly | 
Cela montre aussi le problème que pose le fait d'avoir l'UDID en dur dans le matériel. Existe t-il un moyen de le modifier malgré tout lors d'un update logiciel ? Si tel n'est pas le cas c'est problématique si cette données est exploitable par un hacker car rendra ces périphériques vulnérables pour toutes leur durée de vie. A moins qu'Apple ne les remplace (mais ça leur couterait un bras) ou ne change ces APIs pour ajouter d'autres contrôles (là c'est au développeurs d'application que ça coutera le plus si il ne peuvent le faire sans toucher à la partie publique des APIs). Dans tous les cas, Apple sera considérée comme responsable par l'opinion publique quoi qu'il en soit et je ne serais en effet pas étonné de voir une class action dirigée contre la firme qui devra de toutes les façons s'expliquer. Pour les développeurs, je crois qu'il va falloir protéger du mieux que vous le pouvez vos certificats permettant de faire du push via les API d'Apple. Quelque chose me dit que cette marchandise va prendre de la valeur sur le marché noir des hackers.
avatar Louis | 
Allez, à vue de nez, iBooks. Aucune preuve, une idée comme ça.

CONNEXION UTILISATEUR