antisec-logo

Analyse du piratage des 12 millions d’identifiants de terminaux Apple subtilisés au FBI

Temps de lecture : 3 minutes

L’information ne vous aura sans doute pas échappée puisqu’elle a fait le tour des médias, mais sachez qu’un groupe de hackers appartenant à la mouvance AntiSec a accusé le FBI d’avoir constitué une liste d’environ 12 millions d’identifiants uniques liés à des terminaux Apple. Selon le groupe de hacker, ces données seraient utilisées par le FBI à des fins de surveillance. Le FBI, lui, se défend de cette accusation, notamment par l’intermédiaire de son compte Twitter :

 

Cette attaque ferait suite au discours d’un général de la NSA lors de la précédente Defcon qui se tenait à Las Vegas. Le général en question se serait ainsi présenté à cet évènement dans le but d’y recruter des hackers, ce qui n’a visiblement pas plu à certains des membres de cette communauté.

Un fichier contenant un échantillon d’identifiants de terminaux Apple a ainsi été publié (le fichier source représenterait 12 millions d’ID). En accord avec l’idéologie du courant de pensée AntiSec, les informations personnelles n’ont pas été communiquées et le fichier a par conséquent été dépouillé de toute donnée sensible, cette publication ayant pour vocation de créer un petit buzz médiatique et en toute logique, d’attirer l’attention.

Publié sous forme d’une archive protégée, le fichier texte est disponible à l’une des adresses suivantes.

Le fichier est encrypté à l’aide d’openssl

Mot de passe :

On décompresse l’archive

Puis l’on se retrouve avec un fichier texte pesant 136 Mo

Le fichier contient 1,000,001 identifiants (une portion du véritable fichier)

La première colonne correspond à l’UDID, un identifiant unique de 40 caractères permettant de rendre chaque iDevice unique. En théorie (oui tout est possible), vous ne risquez rien à ce que cette donnée se balade dans la nature.
Dans l’ordre, les autres colonnes correspondent au :

  • Jeton Apple Push Notification
  • Nom du terminal
  • Type du terminal (iPad, iPhone)

Il semblerait que le jeton puisse permettre l’envoi de notifications push vers le device concerné. J’ai franchement un gros doute concernant ce point, et si un développeur iOS passe dans le coin, qu’il n’hésite pas à éclairer ma lanterne.

En cherchant les chaînes de caractères «iPad de» «iPhone de» ou «iPod de», l’on peut avoir un ordre d’idée concernant le nombre de périphériques français contenu dans ce fichier. Je vous l’accorde, c’est un raccourci très grossier puisqu’il existe bien évidemment plusieurs pays francophones, mais l’on cherche juste à obtenir une approximation (il faut aussi partir du postulat que la plupart des gens ne changent pas le nom par défaut de leur terminal).

Soit environ 4% sur le total d’identifiants contenu dans ce fichier.

Si vous souhaitez savoir si vous vous trouvez dans cette liste, il vous suffit de récupérer votre UDID (possible depuis iTunes ou en téléchargeant une application gratuite sur le store, je vous laisse chercher avec «UDID») et pour finir, de lancer un simple grep sur le fichier.

N’oubliez pas que la liste est incomplète. J’attire toutefois votre attention sur le fait que dans l’absolu, vous ne risquez rien. L’opération vise surtout à informer le grand public des risques d’un identifiant unique, mais aussi à s’interroger sur certaines pratiques qu’ont les autorités américaines. Bref une histoire de plus dans la longue liste des gouvernements un peu trop curieux vis-a-vis des données personnelles de leurs citoyens.

Réagissez à l'article