Selon le groupe de hackers AntiSec, qui en diffuse un large extrait, le FBI aurait en sa possession une base de données plus de 12 millions d'identifiants uniques d'appareils sous iOS (UDID), enrichie d'informations personnelles parfois très précises. Le groupe suspecte que le fichier soit utilisé pour tracker certains propriétaires d'iPhone.

Le groupe de hackers AntiSec, qui avait pris il y a tout juste un an la succession de LulzSec pour diffuser de nouveaux documents obtenus en exploitant des failles de sécurité, a publié lundi une base de données qui soulève des questions. En effet, le groupe affirme avoir découvert sur l'ordinateur portable d'un agent du FBI un fichier intitulé "NCFTA_iOS_devices_intel.csv", qui contenait très exactement 12.367.232 identifiants uniques d'appareils fabriqués par Apple et tournant sous le système iOS.

La base contiendrait des "Identifiants Uniques d'Appareil (UDID), des noms d'utilisateur, des noms d'appareils, des types d'appareil, des tokens pour le Service de Notification par Push d'Apple, des codes postaux, des numéros de téléphone mobile, des adresses, etc.", indique AntiSec dans un communiqué très politisé et rédigé avec soin. Le groupe précise que "les champs de détails personnels qui font référence à des gens apparaissent souvent vides, laissant la liste incomplète dans une large part".

AntiSec publie un extrait de 1 million de ces UDID, nettoyé de toutes informations personnelles. "Certains appareils (listés) contenaient beaucoup d'informations", prévient-t-il. "D'autres, pas plus qu'un code postal ou presque rien".

Le document aurait été découvert en mars 2012 sur un ordinateur portable Dell Vostro utilisé par un "Agent Spécial Superviseur" du FBI, qui officie dans la Regional Cyber Action Team du FBI. C'est l'exploitation d'une faille Java (la vulnérabilité AtomicReferenceArray) qui aurait permis aux hackers de gagner l'accès au système et de télécharger plusieurs documents présents sur le bureau.

Selon le groupe de hackers, le fichier pourrait être exploité par le FBI pour mettre en place un système de surveillance des détenteurs d'appareils sous iOS. Le mot "intel" présent dans le nom du fichier pourrait en effet être un raccourci du terme "intelligence", utilisé en anglais pour désigner le "renseignement" au sens policier du terme.

En avril 2012, Apple a décidé de ne plus laisser les développeurs (en particulier les régies publicitaires) utiliser le UDID pour identifier les utilisateurs. Il travaille depuis sur une alternative. Le FBI a pu réunir cette base en collectant lui-même les UDID utilisés dans les communications depuis iOS, et remplir la base de données en croisant les UDID avec d'autres informations, notamment de géolocalisation.

"Ce concept d'identifiant codé dans le matériel devrait être éradiqué de tout appareil sur le marché à l'avenir", prévient AntiSec. 

Partager sur les réseaux sociaux

Articles liés