[Le Monde Informatique – 04/09/2012]

12 millions d’identifiants iOS auraient été dérobés sur l’ordinateur d’un agent du FBI. C’est le groupe de hackers AntiSec qui déclare être parvenu à s’emparer de la banque de données grâce à une faille Java exploitée en mars dernier.

Le groupe de hackers, formé d’Anonymous et d’anciens membres de LulzSec, assure avoir dérobé près de 12 millions d’identifiants iOS au FBI. Opérant sous le nom AntiSec, le collectif a déjà fait parler de lui à de nombreuses reprises. Aujourd’hui, il assure être en possession de plus de 12 millions d’identifiants UDID (Unique Device Identifier) propres à chaque appareil iOS d’Apple. Les hackers reprochent ainsi au FBI d’être en possession d’une base de données enrichie d’informations personnelles très précises. 

Le groupe, habitué à la diffusion de documents obtenus en exploitant des failles de sécurité, a publié lundi une liste déconcertante d’informations personnelles. Fait marquant: ce n’est pas à la firme de Cupertino que ces données auraient été dérobées mais bel et bien au FBI. Les informations auraient ainsi été récupérées directement sur l’ordinateur d’un agent spécial de l’agence. Le fichier, intitulé « NCFTA_iOS_devices_intel.csv » contiendrait 12 367 232 identifiants uniques d’appareils Apple.

Des informations privées dans les mains du FBI

AntiSec affirme ainsi que la base de données récupérée contiendrait des « identifiants uniques d’appareils (UDID), des noms d’utilisateur, des noms d’appareils, des modèles, des jetons pour le service de notification push d’Apple, des codes postaux, mais aussi des adresses ou encore des numéros de téléphone mobiles… ». En  guise de preuve, le groupe de hacker a publié une liste de 1 000 001 UDID ne comportant aucune information personnelle à part les noms et prénoms des utilisateurs, afin de permettre à ces derniers de savoir si le FBI possédait leurs informations. « Certains appareils listés contenaient un grand nombre d’informations » prévient le groupe. « D’autres, en revanche, ne comprenaient pas plus qu’un code postal, voir rien ».

Une faille Java à l’origine du piratage

Le document serait en possession des hackers depuis le mois de mars dernier, date à laquelle les pirates seraient parvenus à pénétrer un ordinateur portable Dell Vostro utilisé par un Agent Special Superviseur du FBI, officiant dans la Regional Cyber Action Team de l’agence. C’est grâce à une faille Java et plus exactement par l’intermédiaire de la vulnérabilité AtomicReferenceArray, que les hackers auraient pénétré le système et se seraient emparés de plusieurs documents présents sur le bureau. Selon les ces derniers, ce fichier pouvait servir au FBI pour la mise en place d’un système de surveillance de possesseurs d’appareils sous iOS. 

Le mot « intel », présent dans l’intitulé du fichier, semble quant à lui n’être que le raccourci du terme « intelligence », utilisé en anglais pour désigner le renseignement au sens policier du terme. En avril dernier, la firme de Cupertino avait annoncé travailler sur une alternative au système UDID afin de ne plus laisser les développeurs l’utiliser. Le FBI aurait pu se constituer une telle base en croisant les informations UDID avec des données de géolocalisation.

« Ce concept d’identifiant codé dans le matériel devrait être éradiqué de tout appareil sur le marché à l’avenir », a affirmé AntiSec. 

 http://www.lemondeinformatique.fr/actualites/imprimer-12-millions-d-identifiants-ios-subtilises-au-fbi-par-antisec-50274.html