S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

iPad : une négligence d'AT&T expose 114 000 adresses email

Une tablette ébréchée

ipadCela fait environ deux mois que l’iPad a été commercialisé aux États-Unis, et Apple a écoulé depuis plus de deux millions de ses tablettes. Seulement voilà : une énorme faille de sécurité vient d’être révélée par le site Gawker. Conséquence : des dizaines de milliers de personnes sont concernées et des données très personnelles ont pu être volées. Explications.

L'information qui circulait en clair

La faille en question ne touche pas l’iPad directement, mais le réseau de l’opérateur de téléphonie mobile AT&T, partenaire exclusif d’Apple sur la tablette, ainsi que sur l’iPhone. Selon Gawker, 114 000 personnes auraient été touchées par cette faille, qui permet de récupérer les adresses de courrier électronique. Or, dans la liste, on trouve des personnalités importantes, des membres haut-placés de l’armée américaine, des responsables, des hommes politiques, etc.

Comment fonctionne cette faille ? L’iPad possède, comme tous les téléphones et appareils embarquant une carte SIM, un ICCID. Cet Integrated Circuit Card ID est unique pour chaque SIM et correspond à une suite de 19 ou 20 chiffres, et elle ne peut donc être rattachée qu’à un seul abonné. Or, cette donnée circule en clair sur le site Web d’AT&T, et c’est par cette voie que certains se sont engouffrés pour récupérer les adresses email.

Les découvreurs de cette faille font partie d’un groupe nommé Goatse Security. Il ne s’agit pas d’une entreprise, mais d’un groupe de hackers. On compte à leur actifs plusieurs failles trouvées dans les navigateurs Firefox et Safari, mais également dans le système de notation d’Amazon. La technique employée a été la suivante : un script PHP interrogeant le serveur d’AT&T et automatisant les requêtes HTML qui contenaient des ICCID. Ces ICCID avaient été obtenus par simple déduction, les hackers connaissant leur apparence en cherchant dans des iPad. La requête renvoyait alors à chaque fois l’adresse électronique qui avait été utilisée par l’abonné pour activer sa tablette.

Responsabilité et conséquences

Il y a donc double-faute ici : Apple d’un côté pour rendre obligatoire l’utilisation d’une adresse email pour l’activation, et AT&T de l’autre pour avoir fait circuler en clair cette information sur son propre site Web. Bien entendu, si l’on compare, on dira qu’Apple a mis en place une procédure qui comporte des risques, tandis qu’AT&T est clairement responsable de la faille sur son propre site.

Et l’histoire n’aurait certainement pas pris autant d’ampleur si les personnes touchées n’était pas aussi importantes :

gawker faille ipad at&t 

On le voit sur la capture, ce sont en partie des personnalités officielles qui ont été touchées. On trouve ainsi plusieurs personnes travaillant au DARPA, le centre de recherche du département américain de la Défense. William Eldredge, qui dirige la plus grosse division opérationnelle de bombardement stratégique, fait également partie des victimes. Même le chef du personnel de la Maison Blanche, Rahm Emanuel, est concerné.

Et ce n’est pas fini, car on trouve également des chefs d’entreprise ou d’importants responsables :

gawker faille ipad at&t 

Les PDG du New York Times et de Time Inc., le président de News Corp. ou encore le PDG de Dow Jones, à qui appartiennent l’indice du même nom ainsi que la Wall Street Journal, ont tous vu leurs adresses email révélées.

Ce n'est peut-être pas terminé

Au vu du nombre de personnes touchées, ce n’est d’ailleurs pas tant les adresses proprement dites qui sont importantes que les personnes à qui elles sont rattachées. AT&T a indiqué que la brèche avait été colmatée mardi, mais toute personne ayant acheté un iPad aux États-Unis et ayant utilisé le réseau AT&T jusqu’au lundi 7 juin est potentiellement touchée. En effet, Goatse Security a précisé que le script PHP avait été donné à d’autres tiers avant la résolution du problème : en clair, on ne sait pas qui en a profité, et dans quelles proportions.

Différents experts en sécurité contactés par Gawker ont indiqué qu’en dehors de la publication des adresses email, le fait de connaître l’ICCID n’est pas dramatique en soi. Emmanuel Gadaix, consultant en sécurité et ancien de chez Nokia, a ainsi indiqué : « Il y a eu des vulnérabilités dans le chiffrement GSM découvertes ces dernières années, aucune n’a impliqué l’ICCID. Autant que je sache, aucune vulnérabilité ou méthode d’exploitation n’utilise l’ICCID ». Karsten Nohl, hacker « white hat » et docteur en sciences informatiques à l’université de Virginie, explique que la révélation de l’ICCID n’a aucune conséquence directe sur la sécurité, car les communications sont très bien chiffrées sur les réseaux mobiles. Mais il s’est montré par contre très critique envers AT&T, qu’il taxe de négligence.

En attendant, la direction du New York Times a envoyé un courrier générale pour demander aux employés possédant un iPad de couper leur accès 3G jusqu’à avis contraire. Ce n’est sûrement pas la seule entreprise à avoir procédé de cette manière, et on imagine que le personnel du gouvernement et de l’armée est touché par des mesures similaires.

Reste qu’en attendant, Apple ne dit rien. Mais même si la faute d’AT&T ne fait pas de doute, cela ne peut qu’affecter négativement la communication autour de la tablette. 
Source : Gawker
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 10/06/2010 à 10:13

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 217 commentaires

Avatar de kypd INpactien
kypd Le jeudi 10 juin 2010 à 11:07:03
Inscrit le mercredi 12 avril 06 - 1198 commentaires
Voilà, j'ai changé, vous êtes satisfaits maintenant ?

Je vais retourner bosser maintenant que je suis tranquille sur le fait que je n'aurai plus des réactions absurdes à me coltiner.


A partir du moment où c'est une news Apple et que chaque phrase n'est pas positive envers la marque, ses produits, ou son gourou...

Tu auras ce genre de réactions
Avatar de trash54 INpactien
trash54 Le jeudi 10 juin 2010 à 11:07:18
Inscrit le mardi 13 septembre 05 - 6225 commentaires
faille de sécurité de AT&T qui ne sait pas sécurise leur site
faille de sécurité chez apple de demander un mail pour activé l'iPad
faille de sécurité des utilisateurs/acheteurs d'avoir mis des adresses mail pro pour activer leur iPad

puis après il y a aussi : comment lire et comprendre un titre/article
Avatar de fabricer INpactien
fabricer Le jeudi 10 juin 2010 à 11:07:25
Inscrit le dimanche 12 octobre 03 - 3188 commentaires
Voilà, j'ai changé, vous êtes satisfaits maintenant ?

Je vais retourner bosser maintenant que je suis tranquille sur le fait que je n'aurai plus des réactions absurdes à me coltiner.


Parfois il faut juste savoir reconnaître ses erreurs
Avatar de ano_635044037212003106 INpactienne
ano_635044037212003106 Le jeudi 10 juin 2010 à 11:07:54
Inscrite le jeudi 21 juillet 05 - 7516 commentaires

Moi je comprend pas ca:
Je vois pas comment ils communiquent avec leur client sans mail.
Sinon l'article est correct.


Ouf, pendant un instant on a cru que seul le titre comptait
Avatar de hokkos INpactien
hokkos Le jeudi 10 juin 2010 à 11:07:58
Inscrit le mardi 22 mars 05 - 3451 commentaires
Voilà, j'ai changé, vous êtes satisfaits maintenant ?

Je vais retourner bosser maintenant que je suis tranquille sur le fait que je n'aurai plus des réactions absurdes à me coltiner.


Rhoo tu as besoin d'amour Vincent, :hug:
Avatar de Vincent_H Equipe
Vincent_H Le jeudi 10 juin 2010 à 11:08:46
Inscrit le jeudi 30 janvier 03 - 15419 commentaires

Elle est bien bonne , ils ont juste interprété un titre à sa juste valeur



Oui pardon, je suis un indécrottable trolleur qui déteste simplement Apple.
Avatar de lossendae INpactien
lossendae Le jeudi 10 juin 2010 à 11:09:19
Inscrit le mardi 12 octobre 04 - 6738 commentaires
J'y crois pas.

Ségolène Royal avait donc raison, il y a bien des lobby sur internet
Avatar de hokkos INpactien
hokkos Le jeudi 10 juin 2010 à 11:09:52
Inscrit le mardi 22 mars 05 - 3451 commentaires
faille de sécurité de AT&T qui ne sait pas sécurise leur site
faille de sécurité chez apple de demander un mail pour activé l'iPad
faille de sécurité des utilisateurs/acheteurs d'avoir mis des adresses mail pro pour activer leur iPad

puis après il y a aussi : comment lire et comprendre un titre/article


pas pour activer un ipad (les non 3G sont pas concerné, et le 3G qui ont pas pris d'abo non plus), pour acheter un abo, comment on achete un abo sans mail ?
Avatar de Vincent_H Equipe
Vincent_H Le jeudi 10 juin 2010 à 11:10:04
Inscrit le jeudi 30 janvier 03 - 15419 commentaires

A partir du moment où c'est une news Apple et que chaque phrase n'est pas positive envers la marque, ses produits, ou son gourou...

Tu auras ce genre de réactions


C'était l'essence de mon message oui. Cela dit, ça ne m'empêchera pas de bosser, ni de vivre. Mais je ne comprends toujours pas qu'on puisse ergoter sur des détails pareils quand il est plus que clair de voir mon propre avis sur la question dans la news.
Avatar de manu0086 INpactien
manu0086 Le jeudi 10 juin 2010 à 11:10:28
Inscrit le mardi 30 janvier 07 - 3238 commentaires
Voilà, j'ai changé, vous êtes satisfaits maintenant ?

Je vais retourner bosser maintenant que je suis tranquille sur le fait que je n'aurai plus des réactions absurdes à me coltiner.

Titre clair et précis


Les réactions (aussi négatives qu'elles peuvent être) montrent surtout l'intérêt que l'on porte à PCI.
;