Apple nie toute implication dans la divulgation d'une base de données de plus d'un million d'identifiants d'appareils sous iOS, qu'AntiSec prétend avoir obtenus en hackant un ordinateur du FBI. Une précision très certainement exacte, mais qui masque les efforts que pourraient faire Apple pour aider à identifier la source de la fuite.

Après avoir gardé le silence plusieurs jours, Apple a finalement réagi à la divulgation d'une base de données de plus d'un million d'identifiants uniques de ses iPhone et iPad (les UDID), diffusés par le groupe de hackers AntiSec. Ce dernier affirmait avoir obtenu le fichier sur l'ordinateur portable d'un agent du FBI, après l'avoir attaqué en exploitant une faille de Java en mars 2012. Au total, le fichier contiendrait plus de 12 millions de UDID.

Le FBI a nié détenir un tel fichier enrichi d'informations personnelles concernant les propriétaires des appareils listés, et c'est désormais Apple qui dément toute implication.

"Le FBI n'a pas demandé ces informations à Apple, et nous ne les avons pas non plus fournies au FBI ou à une quelconque organisation", indique la firme de Cupertino au site AllThingsD. "De plus, avec iOS 6 nous introduisons un nouvel ensemble d'APIs destinées à remplacer l'UDID et nous allons bannir l'utilisation de UDID", précise Apple.

Il faut lire avec attention les mots de la firme de Cupertino. 

Apple affirme ne pas avoir fourni les informations contenues dans la base de données, ce dont nous disions déjà mercredi que c'était en effet un scénario peu probable. Si Apple avait fourni les UDID au FBI, pourquoi la base de données ne contiendrait-elle "que" 12 millions de références, alors que la firme a vendu aux Etats-Unis plus de 86 millions d'iPhone et plus de 34 millions d'iPad aux Etats-Unis  ?

Apple affirme aussi que le FBI n'a pas "demandé" ces informations. Ce qui ne veut pas dire qu'il ne les a pas obtenues par un autre moyen. C'était le scénario que nous envisagions dès la publication des données. Les UDID pouvant être transmis sur Internet par des applications, il était relativement simple pour le FBI de les collecter, et de croiser les informations obtenues avec d'autres sources pour compléter la base de données.

AntiSec lui-même semble s'être fait son idée. "Les gens dont l'UDID est sur la liste publiée par AntiSec devraient comparer les applications qu'ils ont installées. Un coupable en commun pourrait être découvert", a tweeté le groupe.

Il faudrait en effet pouvoir trouver quelle application est installée sur l'ensemble des 12 millions d'appareils iOS.

Or Apple est le mieux situé pour faire cette recherche et découvrir le mouton noir. La firme de Cupertino détient lui-même la liste, à la fois des UDID de tous ses appareils, et la liste de toutes les applications téléchargées et installées depuis l'App Store. Peut-être sera-t-il contraint de faire cette recherche, si les groupes de protection de la vie privée portent plainte pour remonter jusqu'au coupable.

Partager sur les réseaux sociaux

Articles liés