S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

iPad : une négligence d'AT&T expose 114 000 adresses email

Une tablette ébréchée

ipadCela fait environ deux mois que l’iPad a été commercialisé aux États-Unis, et Apple a écoulé depuis plus de deux millions de ses tablettes. Seulement voilà : une énorme faille de sécurité vient d’être révélée par le site Gawker. Conséquence : des dizaines de milliers de personnes sont concernées et des données très personnelles ont pu être volées. Explications.

L'information qui circulait en clair

La faille en question ne touche pas l’iPad directement, mais le réseau de l’opérateur de téléphonie mobile AT&T, partenaire exclusif d’Apple sur la tablette, ainsi que sur l’iPhone. Selon Gawker, 114 000 personnes auraient été touchées par cette faille, qui permet de récupérer les adresses de courrier électronique. Or, dans la liste, on trouve des personnalités importantes, des membres haut-placés de l’armée américaine, des responsables, des hommes politiques, etc.

Comment fonctionne cette faille ? L’iPad possède, comme tous les téléphones et appareils embarquant une carte SIM, un ICCID. Cet Integrated Circuit Card ID est unique pour chaque SIM et correspond à une suite de 19 ou 20 chiffres, et elle ne peut donc être rattachée qu’à un seul abonné. Or, cette donnée circule en clair sur le site Web d’AT&T, et c’est par cette voie que certains se sont engouffrés pour récupérer les adresses email.

Les découvreurs de cette faille font partie d’un groupe nommé Goatse Security. Il ne s’agit pas d’une entreprise, mais d’un groupe de hackers. On compte à leur actifs plusieurs failles trouvées dans les navigateurs Firefox et Safari, mais également dans le système de notation d’Amazon. La technique employée a été la suivante : un script PHP interrogeant le serveur d’AT&T et automatisant les requêtes HTML qui contenaient des ICCID. Ces ICCID avaient été obtenus par simple déduction, les hackers connaissant leur apparence en cherchant dans des iPad. La requête renvoyait alors à chaque fois l’adresse électronique qui avait été utilisée par l’abonné pour activer sa tablette.

Responsabilité et conséquences

Il y a donc double-faute ici : Apple d’un côté pour rendre obligatoire l’utilisation d’une adresse email pour l’activation, et AT&T de l’autre pour avoir fait circuler en clair cette information sur son propre site Web. Bien entendu, si l’on compare, on dira qu’Apple a mis en place une procédure qui comporte des risques, tandis qu’AT&T est clairement responsable de la faille sur son propre site.

Et l’histoire n’aurait certainement pas pris autant d’ampleur si les personnes touchées n’était pas aussi importantes :

gawker faille ipad at&t 

On le voit sur la capture, ce sont en partie des personnalités officielles qui ont été touchées. On trouve ainsi plusieurs personnes travaillant au DARPA, le centre de recherche du département américain de la Défense. William Eldredge, qui dirige la plus grosse division opérationnelle de bombardement stratégique, fait également partie des victimes. Même le chef du personnel de la Maison Blanche, Rahm Emanuel, est concerné.

Et ce n’est pas fini, car on trouve également des chefs d’entreprise ou d’importants responsables :

gawker faille ipad at&t 

Les PDG du New York Times et de Time Inc., le président de News Corp. ou encore le PDG de Dow Jones, à qui appartiennent l’indice du même nom ainsi que la Wall Street Journal, ont tous vu leurs adresses email révélées.

Ce n'est peut-être pas terminé

Au vu du nombre de personnes touchées, ce n’est d’ailleurs pas tant les adresses proprement dites qui sont importantes que les personnes à qui elles sont rattachées. AT&T a indiqué que la brèche avait été colmatée mardi, mais toute personne ayant acheté un iPad aux États-Unis et ayant utilisé le réseau AT&T jusqu’au lundi 7 juin est potentiellement touchée. En effet, Goatse Security a précisé que le script PHP avait été donné à d’autres tiers avant la résolution du problème : en clair, on ne sait pas qui en a profité, et dans quelles proportions.

Différents experts en sécurité contactés par Gawker ont indiqué qu’en dehors de la publication des adresses email, le fait de connaître l’ICCID n’est pas dramatique en soi. Emmanuel Gadaix, consultant en sécurité et ancien de chez Nokia, a ainsi indiqué : « Il y a eu des vulnérabilités dans le chiffrement GSM découvertes ces dernières années, aucune n’a impliqué l’ICCID. Autant que je sache, aucune vulnérabilité ou méthode d’exploitation n’utilise l’ICCID ». Karsten Nohl, hacker « white hat » et docteur en sciences informatiques à l’université de Virginie, explique que la révélation de l’ICCID n’a aucune conséquence directe sur la sécurité, car les communications sont très bien chiffrées sur les réseaux mobiles. Mais il s’est montré par contre très critique envers AT&T, qu’il taxe de négligence.

En attendant, la direction du New York Times a envoyé un courrier générale pour demander aux employés possédant un iPad de couper leur accès 3G jusqu’à avis contraire. Ce n’est sûrement pas la seule entreprise à avoir procédé de cette manière, et on imagine que le personnel du gouvernement et de l’armée est touché par des mesures similaires.

Reste qu’en attendant, Apple ne dit rien. Mais même si la faute d’AT&T ne fait pas de doute, cela ne peut qu’affecter négativement la communication autour de la tablette. 
Source : Gawker
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 10/06/2010 à 10:13

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 217 commentaires

Avatar de ano_635044037212003106 INpactienne
ano_635044037212003106 Le jeudi 10 juin 2010 à 11:15:46
Inscrite le jeudi 21 juillet 05 - 7516 commentaires

Et c'est si dur que ça de penser qu'il y a une certaine légitimité à réclamer un minimum d'objectivité dans un titre?
On parle bien de journalisme la? Un titre c'est 50% d'un article en terme d'impact et de signification.


T'es encore là toi baton.gif
Avatar de Seth-Erminatores INpactien
Seth-Erminatores Le jeudi 10 juin 2010 à 11:16:21
Inscrit le dimanche 13 novembre 05 - 8214 commentaires

Non, mais il faut juste assumer quand on met un titre racoleur et bien évidemment parfaitement équivoque. Quand à dire que ce genre de réaction ne peut venir que de fanatiques, ça en dit long.

C'est pas juste parce que Apple est le sacrosaint et qu'on ne doit pas y toucher surtout

Je continue à dire qu'il n'y avait pas à chercher la petite bête, vous ferez le même cirque sur les news MS ou Nunux?
Avatar de fabricer INpactien
fabricer Le jeudi 10 juin 2010 à 11:16:29
Inscrit le dimanche 12 octobre 03 - 3188 commentaires

T'es encore là toi baton.gif


Oui
Avatar de ano_635044037212003106 INpactienne
ano_635044037212003106 Le jeudi 10 juin 2010 à 11:16:40
Inscrite le jeudi 21 juillet 05 - 7516 commentaires


Flatteur, j'insiste

[i]
Extrait du Mariage de Figaro de Beaumarchais.
[/i]
Avatar de Vincent_H Equipe
Vincent_H Le jeudi 10 juin 2010 à 11:16:44
Inscrit le jeudi 30 janvier 03 - 15423 commentaires

Non, mais il faut juste assumer quand on met un titre racoleur et bien évidemment parfaitement équivoque. Quand à dire que ce genre de réaction ne peut venir que de fanatiques, ça en dit long.



Le simple fait que tu ne puisses même pas imaginer un seul instant qu'aucune volonté particulière n'avait animé ce titre en dit long sur toi aussi. Tu n'avais pas besoin d'éditer ton message, j'ai vu ce que tu avais écrit. Si tu ne penses pas l'équipe de PCI honnête et objective, je t'invite bien entendu à aller voir ailleurs.
Avatar de fabricer INpactien
fabricer Le jeudi 10 juin 2010 à 11:18:04
Inscrit le dimanche 12 octobre 03 - 3188 commentaires
C'est pas juste parce que Apple est le sacrosaint et qu'on ne doit pas y toucher surtout

Je continue à dire qu'il n'y avait pas à chercher la petite bête, vous ferez le même cirque sur les news MS ou Nunux?


Va donc rédiger un titre aussi orienté sur une news linux ou MS et tu vas voir

Avatar de Baldr INpactien
Baldr Le jeudi 10 juin 2010 à 11:18:13
Inscrit le mardi 5 mai 09 - 48 commentaires
fabricer > byebye

Moi ce que je remarque, c'est que sur X personnes qui ont ralé pour le "titre racoleur" peu reconnaissent au final qu'après avoir lu l'article on comprend très bien que la faille ne vient pas d'Apple. Je trouve ça plutôt révélateur de l'attention que les lecteurs portent aux articles...
Avatar de Vincent_H Equipe
Vincent_H Le jeudi 10 juin 2010 à 11:18:25
Inscrit le jeudi 30 janvier 03 - 15423 commentaires
Je rappelle en outre que ceux qui ont des remarques sur la ligne éditoriale de PCI peuvent me contacter. D'autres l'ont fait par mail, IM, skype et même téléphone. Je sais, ça rapporte moins que de le faire dans les commentaires, mais au moins c'est constructif.
Avatar de lossendae INpactien
lossendae Le jeudi 10 juin 2010 à 11:18:37
Inscrit le mardi 12 octobre 04 - 6746 commentaires
Vivement la prochaine faille critique sous environnement Microsoft /Linux / [strike]Flash[/strike] causée par un tiers pour réclamer aussi un changement de titre.

Nous avons tous le droit d'être sensible à l'objectivité.
Avatar de lossendae INpactien
lossendae Le jeudi 10 juin 2010 à 11:20:18
Inscrit le mardi 12 octobre 04 - 6746 commentaires
Titre racoleur pour une faille qui n'a rien à voir avec l'iPad.

Le niveau de PCI baisse à vue d'œil.



Depuis que le titre a changé, j'ai aussi pu noter que le niveau de PCI est remonté à vue d'oeil.

C'est assez impressionnant.
;