Alors qu'AntiSec affirme avoir obtenu le fichier sur le disque dur d'un ordinateur du FBI, générant un tas de spéculations sur son utilisation, le patron d'un éditeur d'applications mobiles indique que le fichier divulgué a été piraté sur les serveurs de sa société, il y a deux semaines.

Il y a  une semaine, le groupe de hackers AntiSec publiait un fichier dans lequel figurait 1 million d'identifiants d'appareils mobiles Apple (UDID). Dans le communiqué accompagnant la fuite, le groupe assurait que le fichier avait été découvert sur l'ordinateur portable d'un agent du FBI, nommément désigné, grâce à l'exploitation d'une faille Java ayant permis d'accéder aux données du disque dur. Il affirmait qu'au total, la base de données contenait plus de 12 millions d'identifiants, avec souvent des informations personnelles sur les propriétaires des iPhone ou iPad référencés.

Le lendemain, le FBI a démenti être en possession d'un tel fichier. Le surlendemain, c'est Apple qui a affirmé n'avoir jamais communiqué un fichier de UDIDs au FBI. 

Le plus probable était que les données provenaient d'un éditeur d'applications, qui a techniquement la possibilité de connaître et d'archiver tous les UDID de ses utilisateurs. "Apple est le mieux situé pour faire cette recherche et découvrir le mouton noir. La firme de Cupertino détient lui-même la liste, à la fois des UDID de tous ses appareils, et la liste de toutes les applications téléchargées et installées depuis l'App Store", faisions-nous remarquer la semaine dernière. Curieusement, Apple n'a jamais fait cette comparaison. En tout cas, pas publiquement.

Mais NBC News révèle que le patron de la société BlueToad endosse aujourd'hui toute la responsabilité, après qu'un chercheur en sécurité a lui-même fait ce travail de recoupage. Le président de BlueToad, Paul DeHart, explique que le fichier divulgué provenait des serveurs de son entreprise, et qu'il aurait été "volé" il y a deux semaines. Son propre fichier et celui diffusé par AntiSec seraient identiques à 98 %.

Il n'exclue pas que le fichier se soit retrouvé sur un ordinateur du FBI, mais note que les dates ne coïncident pas. Anonymous affirme en effet que le fichier a été piraté en mars 2012.

Inconnu du grand public, BlueToad est créateur d'applications pour plus de 6000 clients, qui les publient en leur nom. Leur identité est inconnue. Au total, la société délivrerait 100 millions de pages vues chaque mois.

BlueToad a été prévenu qu'il était à l'origine de la fuite par David Schuetz, un expert en sécurité mobile qui aurait découvert, dans un fichier d'un million d'enregistrements, que 19 appareils identifiés portaient un nom lié à la société Blue Toad. Une aiguille dans une botte de foin.

Pour le moment, AntiSec n'a pas réagi à la publication du reportage de NBC News et aux confessions de BlueToad.

Partager sur les réseaux sociaux

Articles liés