Le mystère de l'origine du fichier contenant 1 million d'UDID d'iPhone, d'iPod touch et d'iPad a été pour partie levé. Une société américaine baptisée BlueToad a reconnu auprès de NBCNews s'être fait pirater ses serveurs il y a deux semaines.

BlueToad est spécialisée dans l'édition numérique, elle aide des éditeurs de presse par exemple à transformer leurs contenus en applications mobiles et à les monétiser auprès de leurs lecteurs.

NBCNews explique qu'un chercheur, David Schuetz, avait relevé la présence dans ce fichier de plusieurs occurrences contenant le nom de BlueToad. Le fichier, tel qu'il avait été publié par des anonymes contenait des UDID (sorte de plaque d'immatriculation de votre appareil), le nom donné par son utilisateur (ex : iPad de Paul), des identifiants push et la nature de l'appareil.

C'est dans ce nom donné à chaque fois à l'appareil que celui de BlueToad ou des références proches sont apparus à plusieurs reprises. Le chercheur a contacté l'entreprise qui a alors estimé que cette liste correspondait à 98% à des informations stockées sur ses serveurs.

Apple, contactée par NBCNews, a précisé qu'au-delà des informations de base, les développeurs ne pouvaient accéder à des informations confidentielles sur l'utilisateur sauf si celui-ci les avait données de lui-même à l'application.

Paul DeHart, le PDG de BlueToad, a souligné sur le blog de l'entreprise qu'elle ne prélevait plus les UDID depuis plusieurs mois, suivant en cela les consignes d'Apple (iOS 6 va d'ailleurs les rendre caduques, ndlr). Il reste des applications en circulation qui les récupèrent encore, car elles n'ont pas été mises à jour, mais les informations ainsi envoyées ne sont maintenant plus conservées sur les serveurs.

Si une partie du mystère est levée, restent encore des questions. Les auteurs de la publication de cette liste affirmaient les avoir prises sur un portable d'un agent du FBI en mars dernier. BlueToad parle d'un piratage survenu il y a quinze jours. Les Anonymous disaient aussi avoir ôté plusieurs informations confidentielles associées à ces UDID avant la mise en ligne (adresses postales, numéros de carte de crédit…) et avoir encore 11 millions de références sous le coude. BlueToad ne dit rien sur ces points.

Paul DeHart n'a pour sa part aucune idée de l'identité de son voleur, et encore moins si cette liste s'est retrouvée ou non sur un ordinateur de l'agence fédérale (lire Fichier d'UDID : le FBI n'a pas la « preuve » de son implication & Une liste d'un million d'UDID iOS mise en circulation après un piratage).