La rumeur circulait déjà, mais des données postées sur le service Pastebin viennent la confirmer. Un million d'identifiants uniques (UDIDs) d'appareils iOS (iPhone, iPad, iPod) sont dans la nature. 
L'acte a été prémédité par un groupe de hackers nommé Antisec. Le fichier de la liste en question comporte plus de 12 millions d'enregistrements de dispositifs, incluant des UDIDs Apple, des noms d'utilisateurs, des jetons de notifications push, et dans certains cas même, des noms, des numéros de mobiles, des adresses avec codes postaux...
Le groupe a retiré les informations les plus sensibles et a publié le douzième de la liste : 1.000.001 identifiants.
Le plus remarquable est que le groupe prétend que les enregistrements ont été récupérés à partir d'un ordinateur portable du FBI. Ainsi, durant la deuxième semaine de mars, le groupe se serait introduit dans un notebook Dell Vostro appartenant à Christopher K. Strangl, un Supervisor Special Agent de la Regional Cyber Action Team et du New York FBI Office Evidence Response Team. Rien que ça !
Les hackers ont réussi leur coup en utilisant la vulnérabilité Java AtomicReferenceArray. Durant la session shell, des fichiers ont été téléchargés du répertoire du bureau de la victime. L'un de ces fichiers porte le nom de NCFTA_iOS_devices_intel.csv et contient au format CSV les données sensibles compromises.
La source des données n'est pas encore claire. Il se pourrait que les données aient été récupérées par des développeurs d'applications, pour délivrer des notifications push.
Le risque majeur concerne la vie privée des utilisateurs, avec des données pouvant être utilisées dans des réseaux de publicités ou d'applications, pour comprendre les activités et intérêts des utilisateurs et mieux les cibler.
S'il est légitime de se demander ce que risquent les clients d'Apple, une autre question devrait tarauder les esprits : comment se fait-il que le FBI ait mis la main sur une telle liste ? Et pourquoi se retrouve-t-elle non chiffrée, sur le bureau d'un ordinateur vulnérable ?
Apple et le bureau fédéral devraient en tout cas s'expliquer.
Source : détails sur l'attaque sur Pastebin
Et vous ?
Les organismes officiels font-ils le nécessaire pour protéger leurs données confidentielles ? 
Envoyé par tarikbenmerar
