Accueil > 2012 > septembre > 12 millions d’identifiants d’appareils Apple détenus par le FBI, et piratés
12 millions d’identifiants d’appareils Apple détenus par le FBI, et piratés
Guillaume Champeau | numerama.com | mardi 04 Septembre 2012
mardi 4 septembre 2012
12 millions d’identifiants d’appareils Apple détenus par le FBI, et piratés
Guillaume Champeau | numerama.com | mardi 04 Septembre 2012
Selon le groupe de hackers AntiSec, qui en diffuse un large extrait, le FBI aurait en sa possession une base de données plus de 12 millions d’identifiants uniques d’appareils sous iOS (UDID), enrichie d’informations personnelles parfois très précises. Le groupe suspecte que le fichier soit utilisé pour tracker certains propriétaires d’iPhone.
Le groupe de hackers AntiSec, qui avait pris il y a tout juste un an la succession de LulzSec pour diffuser de nouveaux documents obtenus en exploitant des failles de sécurité, a publié lundi une base de données qui soulève des questions. En effet, le groupe affirme avoir découvert sur l’ordinateur portable d’un agent du FBI un fichier intitulé "NCFTA_iOS_devices_intel.csv", qui contenait très exactement 12.367.232 identifiants uniques d’appareils fabriqués par Apple et tournant sous le système iOS.
La base contiendrait des "Identifiants Uniques d’Appareil (UDID), des noms d’utilisateur, des noms d’appareils, des types d’appareil, des tokens pour le Service de Notification par Push d’Apple, des codes postaux, des numéros de téléphone mobile, des adresses, etc.", indique AntiSec dans un communiqué très politisé et rédigé avec soin. Le groupe précise que "les champs de détails personnels qui font référence à des gens apparaissent souvent vides, laissant la liste incomplète dans une large part".
AntiSec publie un extrait de 1 million de ces UDID, nettoyé de toutes informations personnelles. "Certains appareils (listés) contenaient beaucoup d’informations", prévient-t-il. "D’autres, pas plus qu’un code postal ou presque rien".
Le document aurait été découvert en mars 2012 sur un ordinateur portable Dell Vostro utilisé par un "Agent Spécial Superviseur" du FBI, qui officie dans la Regional Cyber Action Team du FBI. C’est l’exploitation d’une faille Java (la vulnérabilité AtomicReferenceArray) qui aurait permis aux hackers de gagner l’accès au système et de télécharger plusieurs documents présents sur le bureau.
Selon le groupe de hackers, le fichier pourrait être exploité par le FBI pour mettre en place un système de surveillance des détenteurs d’appareils sous iOS. Le mot "intel" présent dans le nom du fichier pourrait en effet être un raccourci du terme "intelligence", utilisé en anglais pour désigner le "renseignement" au sens policier du terme.
En avril 2012, Apple a décidé de ne plus laisser les développeurs (en particulier les régies publicitaires) utiliser le UDID pour identifier les utilisateurs. Il travaille depuis sur une alternative. Le FBI a pu réunir cette base en collectant lui-même les UDID utilisés dans les communications depuis iOS, et remplir la base de données en croisant les UDID avec d’autres informations, notamment de géolocalisation.
"Ce concept d’identifiant codé dans le matériel devrait être éradiqué de tout appareil sur le marché à l’avenir", prévient AntiSec.
Voir en ligne : 12 millions d’identifiants d’appareils Apple détenus par le FBI, et piratés
Messages
1. UDID Apple piratés : le FBI dément, AntiSec menace., 8 septembre 2012, 05:07, par b.bec
UDID Apple piratés : le FBI dément, AntiSec menace.
Guillaume Champeau | numerama.com | mercredi 05 Septembre 2012
Le FBI affirme qu’il est "totalement faux" de prétendre que le fichier de plusieurs millions d’identifiants Apple obtenu par des hackers a été dérobé sur un ordinateur du FBI. AntiSec, à l’origine de la fuite, annonce qu’il publiera de nouvelles données pour étayer ses accusations.
Mardi, nous rapportions que le groupe de hackers AntiSec a publié une base de données d’1 million d’identifiants uniques d’appareils Apple (UDID), en affirmant en détenir au total plus de 12 millions. La base de données, qui contient également en partie des informations personnelles concernant les propriétaires des iPhone concernés (adresse, code postal, numéro de mobile, ...), aurait été découverte sur l’ordinateur portable d’un agent du FBI, suite à l’exploitation d’une faille de sécurité dans Java. Le nom de l’agent a même été donné dans le communiqué accompagnant la divulgation des données.
Si l’affirmation d’AntiSec est exacte, cela ne peut avoir que deux explications. Soit Apple fournit des bases de données de UDIDs au FBI, ce qui paraît peu vraisemblable. Soit le FBI a tracé les UDID envoyés sur les réseaux pour constituer lui-même sa propre base de données à des fins de surveillance, en enrichissant la base de toutes les informations complémentaires qu’il parvenait à croiser.
Face aux interrogations, le FBI a d’abord nié mollement, en affirmant ne détenir "aucune preuve" qu’un tel fichier soit en sa possession et qu’il ait pu être piraté. Puis, devant les doutes persistants, la police fédérale américaine a envoyé un message sur Twitter qui affirme que les allégations d’AntiSec sont "TOTALEMENT FAUSSES", en majuscules dans le texte :
Provocateur, AntiSec rappelle que dans un passé récent, le FBI s’est déjà fait hacker. L’enregistrement d’une conférence téléphonique de programmation d’arrestations de membres d’Anonymous avait en effet été diffusée par Anonymous, et son authenticité avait été confirmée.
Par ailleurs, AntiSec rappelle qu’il détient toujours 3 To de données prétendument récupérées sur l’ordinateur portable de l’agent du FBI. "Nous n’avons même pas commencé", menace le groupe.
S’il apporte la preuve que les données sont effectivement issues d’un ordinateur du FBI, le Bureau aura nécessairement à rendre des comptes, et ne pourra plus se contenter d’un démenti, aussi ferme soit-il.