Le groupe de hackers AntiSec, qui avait pris il y a tout juste un an la succession de LulzSec pour diffuser de nouveaux documents obtenus en exploitant des failles de sécurité, a publié lundi une base de données qui soulève des questions. En effet, le groupe affirme avoir découvert sur l'ordinateur portable d'un agent du FBI un fichier intitulé "NCFTA_iOS_devices_intel.csv", qui contenait très exactement 12.367.232 identifiants uniques d'appareils fabriqués par Apple et tournant sous le système iOS.
La base contiendrait des "Identifiants Uniques d'Appareil (UDID), des noms d'utilisateur, des noms d'appareils, des types d'appareil, des tokens pour le Service de Notification par Push d'Apple, des codes postaux, des numéros de téléphone mobile, des adresses, etc.", indique AntiSec dans un communiqué très politisé et rédigé avec soin. Le groupe précise que "les champs de détails personnels qui font référence à des gens apparaissent souvent vides, laissant la liste incomplète dans une large part".
AntiSec publie un extrait de 1 million de ces UDID, nettoyé de toutes informations personnelles. "Certains appareils (listés) contenaient beaucoup d'informations", prévient-t-il. "D'autres, pas plus qu'un code postal ou presque rien".
Le document aurait été découvert en mars 2012 sur un ordinateur portable Dell Vostro utilisé par un "Agent Spécial Superviseur" du FBI, qui officie dans la Regional Cyber Action Team du FBI. C'est l'exploitation d'une faille Java (la vulnérabilité AtomicReferenceArray) qui aurait permis aux hackers de gagner l'accès au système et de télécharger plusieurs documents présents sur le bureau.
Selon le groupe de hackers, le fichier pourrait être exploité par le FBI pour mettre en place un système de surveillance des détenteurs d'appareils sous iOS. Le mot "intel" présent dans le nom du fichier pourrait en effet être un raccourci du terme "intelligence", utilisé en anglais pour désigner le "renseignement" au sens policier du terme.
En avril 2012, Apple a décidé de ne plus laisser les développeurs (en particulier les régies publicitaires) utiliser le UDID pour identifier les utilisateurs. Il travaille depuis sur une alternative. Le FBI a pu réunir cette base en collectant lui-même les UDID utilisés dans les communications depuis iOS, et remplir la base de données en croisant les UDID avec d'autres informations, notamment de géolocalisation.
"Ce concept d'identifiant codé dans le matériel devrait être éradiqué de tout appareil sur le marché à l'avenir", prévient AntiSec.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !