iPad
Un groupe de hackers dérobe plusieurs millions d’UDID d’appareils Apple au FBI (maj x 2 )
hier 1 million d’UDID appartenant à des appareils iOS. Pour mémoire,
l’UDID est un identifiant unique qui permet d’identifier un appareil iOS.
Cette liste aurait été dérobée au mois de mars sur un ordinateur
portable du FBI. Pour autant, il n’y a pas vraiment de quoi
s’inquiéter puisque qu’en lui-même, l’UDID ne permet pas vraiment de faire
grand-chose.
Qu’est ce qu’un UDID ? Que contient ce fichier ? Dois-je
m’affoler ? Quelques éclaircissements :
L’UDID
Tout d’abord, il faut rappeler ce qu’est l’UDID : il s’agit d’un
identifiant unique par machine utilisé par les applications iOS et services
tiers (stats, pub) pour savoir par exemple quelles machines utilisent une
application. Cet identifiant très largement utilisé , et pris unitairement peu
important, ne constitue pas un identifiant à risque pour l’utilisateur. Par
contre, comme pour tout identifiant unique, si il est recoupé entre plusieurs
services, il peut amener à connaitre des informations plus personnelles sur
l’utilisateur. La disparition de cet UDID avait été évoquée en
début d’année notamment dans cet article.
Vous pouvez connaitre l’UDID de votre machine lorsque vous la connectez à
iTunes ou encore via des applications comme celle-ci gratuite
sur l’App Store.
Le fichier public
C’est en utilisant une faille de Java que les hackers ont réussi à se
procurer le fichier. Celui-ci contenait une liste de plus de 12 millions
d’identifants d’appareils iOS, mais également dans certains cas les noms,
adresse, numéro de téléphone des utilisateurs.
Les hackers ont publié une liste d’un million de ces UDID en prenant soin de
retirer les informations trop personnelles. On y trouve au final les
identifiant UDID et push, le nom de la machine (celui que vous voyez sur itunes
notamment, exemple. "iPhone de Bob"), et le type de machine (ex :
"iPhone).
On ne sait pas d’où proviennent ces informations à l’origine, mais il est
probable qu’une ou plusieurs applications aient été utilisées pour les
collecter.
MacRumors a semble-t-il pu semble-t-il s’assurer qu’il s’agissait de données
réelles et non simulées.
Et maintenant ?
Ce fichier devrait logiquement soulever des questions, parmi
celles-ci : comment ce fichier a-t- été constitué ? Pour quel usage?
Est-ce une seule application qui pourrait être en cause,
plusieurs ?
Quant à savoir si votre UDID est présent dans le fichier, il n’y a pas pour
l’instant de solution autre que de télécharger le fichier, mais gageons
que des solutions plus simples vont rapidement apparaître.
Mise à jour :
- un outil est disponible
ici pour tester la présence de votre UDID chez TheNExtWeb .
- Nous avons également eu la confirmation que les informations de push
notifications même associées à l’UDID ne permettent pas d’envoyer des messages
non sollicités sur les machines.
Pour aller plus loin :