Mise à jour du 5 septembre 2012 : Réagissant hier soir sur Twitter aux divulgations mettant en cause ses services, le FBI a tout d’abord affirmé qu’il n’avait « jamais eu les informations en question », et que ceci était « totalement faux ». Dans un communiqué de presse publié un peu plus tard, l’agence fédérale américaine a été moins catégorique : « Pour le moment, il n'y a aucune preuve indiquant qu'un ordinateur portable du FBI ait été compromis ni que le FBI ait obtenu ou cherché à obtenir ces données ».
Article du 4 septembre 2012 : Des pirates se revendiquant du mouvement Antisec prétendent avoir récupéré depuis l'ordinateur d'un agent du FBI des informations (UDID, noms, numéros de téléphone, adresses,...) relatives à plus de 12 millions d'utilisateurs d'appareils Apple fonctionnant sous iOS. Pour prouver qu'ils ne bluffent pas, ils viennent de mettre en ligne un échantillon de données concernant plus d'un million de comptes.
C’est via un message publié sur Hacker News (et pointé par The Next Web) que ces membres revendiqués du mouvement Antisec ont donné leur version des faits. D’après eux, c’est grâce à une brèche dans Java qu’ils ont réussi à s’introduire « durant la deuxième semaine de mars 2012 » dans l’ordinateur portable de Christopher K. Stangl, un agent du FBI en charge d’actions contre la cybercriminalité. Plus précisément, ils expliquent avoir profité d’une vulnérabilité de l’AtomicReferenceArray de Java.
À partir de cette brèche, les pirates disent avoir réussi à télécharger un fichier intitulé « NCFTA_iOS_devices_intel.csv », qui contenait selon eux une liste de 12 367 232 appareils utilisant l’iOS d’Apple, laquelle comprenait : les noms, adresses et numéros de téléphone de leurs utilisateurs, le nom et le type d’appareil (iPhone, iPad, etc),...
Lumières sur le FBI
Hier, ces membres présumés du mouvement Antisec ont mis en ligne sur Pastebin des liens vers une liste contenant plus d’un million d’UDID relatifs à ces appareils. L’UDID, pour Unique Device Identifier, est un identifiant pour chaque iPhone et iPad. Cette donnée peut être utilisée par les éditeurs d’application pour reconnaître un appareil en dehors de toute identification. Les pirates expliquent toutefois ne pas avoir divulgué d’informations personnelles comme les noms, adresses ou numéros de téléphone des utilisateurs concernés. Nos confrères de MacBidouille relèvent par ailleurs que des milliers d'utilisateurs français d'iPhone et d'iPad sont concernés par ces révélations.
À la question « pourquoi exposer ces données ? », les pirates répondent d’eux mêmes : « nous savons par expérience que personne ne prête attention si vous venez juste pour dire "hey, le FBI utilise les informations de vos appareils et qui sait quelles expériences ils peuvent bien faire avec" ». Selon eux, « le FBI, comme d'habitude, niera ou ignorera cette situation inconfortable et tout le monde oubliera cette histoire à une vitesse étonnante », d'où la nécessité de faire une opération « coup de poing ». Autre question, on peut se demander pourquoi un agent du FBI ou le FBI, détiendrait ces informations...
