Roland-Garros 2013: Simon-Federer (1-6, 6-4, 6-2, 2-6, 3-6) à revivre en live comme-à-la-maison

22 contributions
Publié le 5 septembre 2012.

PIRATAGE - Le point sur les derniers rebondissements de l'affaire...

C'est le feuilleton vie privée de cette fin d'été. La publication, lundi soir, d'un million d'identifiants uniques iPhone (UDID) par des hackers du mouvement AntiSec, agite le Web. Alors que ces derniers affirment avoir dérobé les données sur l'ordinateur portable d'un agent du FBI, les autorités américaines affirment que c'est «absolument faux». Mercredi, Apple a égament nié avoir fourni ces données aux autorités. Le point.

Apple dément avoir fourni ces données au FBI

La déclaration officielle, fournie aux médias américains mercredi: «Le FBI n'a pas demandé ces données à Apple et nous ne les avons pas fournies au FBI ni à aucune autre organisation. Par ailleurs, dans iOS6, nous avons dévoilé un nouveau système amené à remplacer les UDID et nous bannirons bientôt l'emploi des UDID.» Trois scénarios sont donc possibles ici:

  • AnonSec ment sur toute la ligne et s'est procuré les identifiants iPhone par un autre biais et accuse le FBI dans le cadre d'un règlement de compte (une conférence téléphonique entre plusieurs cadres du FBI discutant de la menace Anonymous avait été intercepté récemment par les hackers)
  • Le FBI ment pour éviter un fiasco sur la vie privée et ne pas perdre la face en reconnaissant qu'une de ses machines s'est fait pirater.
  • L'agent était en possession des données pour une raison inconnue et le FBI va revenir sur ses déclarations initiales.

C'est quoi un UDID?

Un Unique Device Identifier, ou numéro unique utilisé par Apple pour identifier chaque iPhone ou iPad, comme un numéro de sécurité sociale ou de carte grise. Il s'agit d'une chaîne de 59 ou 60 caractères hexadécimaux. A l'origine, les développeurs d'apps avaient largement accès à l'UDID et pouvaient enregistrer de nombreuses informations (temps passé sur une app, géolocalisation etc) que certains revendaient ensuite à des réseaux publicitaires. Avec iOS 5, Apple a limité cet accès mais selon les experts, les dérives sont encore largement répandues. Il est amené à disparaître pour être remplacé par d'autres solutions d'identification.

 

La version des hackers vs celle du FBI

Mardi soir, la police fédérale a publié une déclaration officielle: «Pour le moment, il n'y a aucune preuve indiquant qu'un ordinateur portable du FBI ait été compromis ni que le FBI ait obtenu ou cherché à obtenir ces données.» Sur Twitter, les autorités vont même plus loin, précisant: «Nous n'avons jamais possédé les informations en question.» Les hackers, eux, affirment avoir piraté l'ordinateur portable de l'agent Christopher K. Stangl en mars 2012 via une faille Java. Ils disent avoir récupéré le fichier NCFTA_iOS_devices_intel.csv contenant 12 millions d'UDID ainsi que de nombreuses informations personnelles (nom, adresse email, code postal, numéro de téléphone etc) et accusent le FBI de jouer les Big Brothers. Pour l'instant, seuls les UDID ont été publiés. Sur Twitter, le compte AnonymousIRC, affilié au mouvement AntiSec, a réagi: «C'est loin d'être un démenti. Ce qu'ils disent, c'est ''on ne sait rien''.» Avant d'ironiser: «Avant de de démentir trop fermement, rappelez vous: nous possédons 3.000 Go de données supplémentaires. Nous n'avons même pas commencé #funtimes.»

 

 

C'est quoi, la NCFTA?

Une alliance en cybersécurité qui joue les intermédiaires entre les entreprises et le FBI. Elle intervient notamment quand les autorités réclament des informations dans le cadre d'une procédure judiciaire. On ignore pour l'instant si la NCFTA a compilé un le fichier. Les hackers pourraient très bien avoir récupéré les UDID en piratant la base de données d'un éditeur de jeux sociaux, par exemple.

 

Comment savoir si son UDID fait partie de la liste publiée?

La liste est,a priori, au moins en partie authentique. De nombreux utilisateurs, dont plusieurs experts en sécurité, ont vérifié que leur numéro se trouvait dedans. Pour cela, il faut d'abord obtenir son UDID. Soit via l'app AdHoc Helper, qui envoie à l'utilisateur un email avec le fameux numéro. Soit via iTunes, en cliquant sur son iPhone/iPad puis sur le numéro de série qui révèle l'UDID, qu'on peut copier via POMME+C (guide ici). Ensuite, il suffit de le coller sur cette page mise en place par le site The Next Web.

 

Et si son numéro fait partie de la liste?

Il n'y a malheureusement pas grand chose à faire. La scène jailbreak évoque des méthodes pour masquer son UDID par un faux numéro mais la procédure n'a pas d'intérêt ici.

 

C'est grave, docteur?

Les experts en sécurité sont partagés. «Seul, il ne permet pas d'attaquer l'utilisateur», explique à NBC Jonathan Zdziarsky, de la société ViaForensics. Le consultant en sécurité Aldo Cortesi, estime, lui, qu'il s'agit «d'une catastrophe pour la vie privée». Selon lui, l'UDID permet indirectement d'installer à distance des applications ou de prendre le contrôle des apps Facebook ou Twitter. Et la mésaventure d'un journaliste de Wired l'a récemment montré: une vie numérique peut vite être ruinée, même par une porte dérobée.

Philippe Berry
publicité
publicité
publicité
publicité
Les dernières contributions

Chargement des contributions en cours

Réagissez à cet article
Vous souhaitez contribuer ? Inscrivez- vous, ou .
Confirmer l'alerte de commentaire
Annuler
publicité
publicité
Se connecter avec Facebook
S'identifier sur 20minutes.fr