Une liste d'un million d'UDID iOS mise en circulation après un piratage

Florian Innocente |

Des hackers se réclamant du mouvement Antisec ont mis en ligne un fichier contenant 1 million d'UDID d'appareils iOS. Cette masse ne représente qu'une fraction d'un plus gros listing expliquent-ils, qui contiendrait à l'origine 12,3 millions d'identifiants.

Cet extrait a été purgé de certaines données qui étaient, parfois, associées à ce chiffre qui est une sorte de plaque d'immatriculation des appareils iOS : code postal, nom et type du périphérique, numéro de push, numéro de téléphone portable, adresses, etc. Apparemment tous ces UDID n'étaient pas pourvus de ces infos.

Le listing mis en téléchargement contient des données assez anodines et sans utilité en l'état (UDID, identifiant push Apple) ainsi que le type du matériel (iPad, iPhone…) et le nom donné par son propriétaire.

Nous avons récupéré et consulté ce fichier, les numéros sont corrects, au moins dans leur structure, et l'on trouve un assortiment de noms et/ou prénoms de différentes nationalités dont certains à consonance francophone (Michèle, Delphine, "Muriel et Patrick", etc). Il n'y a pas grand-chose à faire de cette liste, mais sa seule existence surprend.

Plus encore que cette liste c'est son origine qui étonne. Il est expliqué qu'elle a été subtilisée en mars dernier sur le portable d'un agent du FBI d'un bureau de New York en exploitant une faille Java. L'agent spécial Christopher K. Stangl appartient à une unité justement spécialisée dans les affaires de piratage électronique.

Cette liste était présente dans un fichier baptisé "NCFTA_iOS_devices_intel.csv". NCFTA peut éventuellement se rapporter au National Cyber-Forensics & Training Alliance. Une organisation à but non lucratif qui se présente comme un partenariat entre entreprises publiques et privées visant à identifier et combattre la criminalité informatique. Mais ce n'est qu'une hypothèse.

Cette liste n'était associée à aucun autre document pouvant expliquer sa présence sur cet ordinateur et l'usage qui en était fait. Ce sont les premières et principales interrogations qui se posent à la lueur de cette découverte.

Tags
#piratage
avatar Oh la belle Pomme | 
Quoi qu'il en soit les données ont pu être extraites. Et si il y en a un qui doit faire en sorte que cela ne se produise pas c'est certainement pas Facebook.
avatar SwissMade | 
Je ne trouve pas la liste pour vérifier je je ne suis pas dedans.
avatar Miniwilly | 
@Destino : Autant dire que Apple est responsable de ça serait aller un peu vide en besogne, mais il n'est pas non plus possible de les dédouaner à ce stade tout du moins. La vraie question qui se pose c'est quelle sera l'exploitation possible de ces données par d'éventuels hacker assez malins pour le faire. Espérons que les risques soient minimes car même si Apple n'a rien a voir dans la fuite, les conséquences seront sans aucun doutes pour la pomme (au moins dans l'esprit du grand public).
avatar Miniwilly | 
Cela montre aussi le problème que pose le fait d'avoir l'UDID en dur dans le matériel. Existe t-il un moyen de le modifier malgré tout lors d'un update logiciel ? Si tel n'est pas le cas c'est problématique si cette données est exploitable par un hacker car rendra ces périphériques vulnérables pour toutes leur durée de vie. A moins qu'Apple ne les remplace (mais ça leur couterait un bras) ou ne change ces APIs pour ajouter d'autres contrôles (là c'est au développeurs d'application que ça coutera le plus si il ne peuvent le faire sans toucher à la partie publique des APIs). Dans tous les cas, Apple sera considérée comme responsable par l'opinion publique quoi qu'il en soit et je ne serais en effet pas étonné de voir une class action dirigée contre la firme qui devra de toutes les façons s'expliquer. Pour les développeurs, je crois qu'il va falloir protéger du mieux que vous le pouvez vos certificats permettant de faire du push via les API d'Apple. Quelque chose me dit que cette marchandise va prendre de la valeur sur le marché noir des hackers.

Pages

CONNEXION UTILISATEUR