S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

iPad : une négligence d'AT&T expose 114 000 adresses email

Une tablette ébréchée

ipadCela fait environ deux mois que l’iPad a été commercialisé aux États-Unis, et Apple a écoulé depuis plus de deux millions de ses tablettes. Seulement voilà : une énorme faille de sécurité vient d’être révélée par le site Gawker. Conséquence : des dizaines de milliers de personnes sont concernées et des données très personnelles ont pu être volées. Explications.

L'information qui circulait en clair

La faille en question ne touche pas l’iPad directement, mais le réseau de l’opérateur de téléphonie mobile AT&T, partenaire exclusif d’Apple sur la tablette, ainsi que sur l’iPhone. Selon Gawker, 114 000 personnes auraient été touchées par cette faille, qui permet de récupérer les adresses de courrier électronique. Or, dans la liste, on trouve des personnalités importantes, des membres haut-placés de l’armée américaine, des responsables, des hommes politiques, etc.

Comment fonctionne cette faille ? L’iPad possède, comme tous les téléphones et appareils embarquant une carte SIM, un ICCID. Cet Integrated Circuit Card ID est unique pour chaque SIM et correspond à une suite de 19 ou 20 chiffres, et elle ne peut donc être rattachée qu’à un seul abonné. Or, cette donnée circule en clair sur le site Web d’AT&T, et c’est par cette voie que certains se sont engouffrés pour récupérer les adresses email.

Les découvreurs de cette faille font partie d’un groupe nommé Goatse Security. Il ne s’agit pas d’une entreprise, mais d’un groupe de hackers. On compte à leur actifs plusieurs failles trouvées dans les navigateurs Firefox et Safari, mais également dans le système de notation d’Amazon. La technique employée a été la suivante : un script PHP interrogeant le serveur d’AT&T et automatisant les requêtes HTML qui contenaient des ICCID. Ces ICCID avaient été obtenus par simple déduction, les hackers connaissant leur apparence en cherchant dans des iPad. La requête renvoyait alors à chaque fois l’adresse électronique qui avait été utilisée par l’abonné pour activer sa tablette.

Responsabilité et conséquences

Il y a donc double-faute ici : Apple d’un côté pour rendre obligatoire l’utilisation d’une adresse email pour l’activation, et AT&T de l’autre pour avoir fait circuler en clair cette information sur son propre site Web. Bien entendu, si l’on compare, on dira qu’Apple a mis en place une procédure qui comporte des risques, tandis qu’AT&T est clairement responsable de la faille sur son propre site.

Et l’histoire n’aurait certainement pas pris autant d’ampleur si les personnes touchées n’était pas aussi importantes :

gawker faille ipad at&t 

On le voit sur la capture, ce sont en partie des personnalités officielles qui ont été touchées. On trouve ainsi plusieurs personnes travaillant au DARPA, le centre de recherche du département américain de la Défense. William Eldredge, qui dirige la plus grosse division opérationnelle de bombardement stratégique, fait également partie des victimes. Même le chef du personnel de la Maison Blanche, Rahm Emanuel, est concerné.

Et ce n’est pas fini, car on trouve également des chefs d’entreprise ou d’importants responsables :

gawker faille ipad at&t 

Les PDG du New York Times et de Time Inc., le président de News Corp. ou encore le PDG de Dow Jones, à qui appartiennent l’indice du même nom ainsi que la Wall Street Journal, ont tous vu leurs adresses email révélées.

Ce n'est peut-être pas terminé

Au vu du nombre de personnes touchées, ce n’est d’ailleurs pas tant les adresses proprement dites qui sont importantes que les personnes à qui elles sont rattachées. AT&T a indiqué que la brèche avait été colmatée mardi, mais toute personne ayant acheté un iPad aux États-Unis et ayant utilisé le réseau AT&T jusqu’au lundi 7 juin est potentiellement touchée. En effet, Goatse Security a précisé que le script PHP avait été donné à d’autres tiers avant la résolution du problème : en clair, on ne sait pas qui en a profité, et dans quelles proportions.

Différents experts en sécurité contactés par Gawker ont indiqué qu’en dehors de la publication des adresses email, le fait de connaître l’ICCID n’est pas dramatique en soi. Emmanuel Gadaix, consultant en sécurité et ancien de chez Nokia, a ainsi indiqué : « Il y a eu des vulnérabilités dans le chiffrement GSM découvertes ces dernières années, aucune n’a impliqué l’ICCID. Autant que je sache, aucune vulnérabilité ou méthode d’exploitation n’utilise l’ICCID ». Karsten Nohl, hacker « white hat » et docteur en sciences informatiques à l’université de Virginie, explique que la révélation de l’ICCID n’a aucune conséquence directe sur la sécurité, car les communications sont très bien chiffrées sur les réseaux mobiles. Mais il s’est montré par contre très critique envers AT&T, qu’il taxe de négligence.

En attendant, la direction du New York Times a envoyé un courrier générale pour demander aux employés possédant un iPad de couper leur accès 3G jusqu’à avis contraire. Ce n’est sûrement pas la seule entreprise à avoir procédé de cette manière, et on imagine que le personnel du gouvernement et de l’armée est touché par des mesures similaires.

Reste qu’en attendant, Apple ne dit rien. Mais même si la faute d’AT&T ne fait pas de doute, cela ne peut qu’affecter négativement la communication autour de la tablette. 
Source : Gawker
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 10/06/2010 à 10:13

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 217 commentaires

Avatar de Burn2 INpactien
Burn2 Le jeudi 10 juin 2010 à 10:28:13
Inscrit le mardi 1 novembre 05 - 9864 commentaires
http://apple-ipad-tablet-help.blogspot.com/2010/03/how-to-setup-ipad-vpn.html

Et donc on se demande pourquoi la bande de moule à gauffre qui l'utilise dans le domaine pro ne l'a pas configuré...


EDIT: ah ben non je suis c$$ vu la manière dont c'est fait ça ne change rien, la question c'est plutôt c'est quoi cette bande de moule à gauffre qui utilise une adresse pro pour activer un ipad...

Edité par Burn2 le jeudi 10 juin 2010 à 10:29
Avatar de misterB INpactien
misterB Le jeudi 10 juin 2010 à 10:29:24
Inscrit le vendredi 22 octobre 04 - 145758 commentaires
Et donc on se demande pourquoi la bande de moule à gauffre qui l'utilise dans le domaine pro ne l'a pas configuré...

car c sont une bande de moule à gauffre
Avatar de tetrapak INpactien
tetrapak Le jeudi 10 juin 2010 à 10:29:38
Inscrit le vendredi 27 juin 08 - 4345 commentaires
Et donc on se demande pourquoi la bande de moule à gauffre qui l'utilise dans le domaine pro ne l'a pas configuré...

ça t'étonne toi ? moi pas du tout
Avatar de patos INpactien
patos Le jeudi 10 juin 2010 à 10:30:17
Inscrit le mercredi 7 novembre 07 - 7119 commentaires
En même temps, je ne comprends même pas pourquoi il y a des comptes de l'exécutif ou de l'armée utilisés par le biais d'un système fermé. Je trouve que c'est un manque de rigueur totale de la part de ces dirigeants.
Avatar de pecos INpactien
pecos Le jeudi 10 juin 2010 à 10:30:29
Inscrit le mercredi 28 mars 07 - 709 commentaires
Mais vous faites dans le TRASH exprès, ces derniers jours sur PCI ?

Cette faille ne vient pas de l'iPad, mais d'AT&T.

De même, hier l'article titré "Apple censure l'adaptation BD de "Ulysse" de James Joyce" alors que jamais Apple n'a censuré ce titre : c'est le dev même de l'application qui s'est auto-censuré.

Donc :
Essayez juste d'être un tout petit peu plus exacts dans les titres et les news, et de ne pas faire dans "auto-trollL".
Parceque si, moi, j'envisage d'aller voir ailleurs ce qui s'y passe, certainement des milliers d'autres lecteurs de PCI sont dans le même cas.
Excédés.
Avatar de Burn2 INpactien
Burn2 Le jeudi 10 juin 2010 à 10:31:37
Inscrit le mardi 1 novembre 05 - 9864 commentaires
car c sont une bande de moule à gauffre

Oué mais en fait non j'avais mal lut:

Il y a donc double-faute ici : Apple d'un côté pour rendre obligatoire l'utilisation d'une adresse email pour l'activation, et AT&T de l'autre pour avoir fait circuler en clair cette information sur son propre site Web. Bien entendu, si l'on compare, on dira qu'Apple a mis en place une procédure qui comporte des risques, tandis qu'AT&T est clairement responsable de la faille sur son propre site


Donc à part utiliser une adresse "poubelle" d'activation le vpn n'aurait rien changé.
Avatar de tetrapak INpactien
tetrapak Le jeudi 10 juin 2010 à 10:32:07
Inscrit le vendredi 27 juin 08 - 4345 commentaires
En même temps, je ne comprends même pas pourquoi il y a des comptes de l'exécutif ou de l'armée utilisés par le biais d'un système fermé. Je trouve que c'est un manque de rigueur totale de la part de ces dirigeants.

pas du tout de plus le problème ne vient pas de là.
Avatar de Burn2 INpactien
Burn2 Le jeudi 10 juin 2010 à 10:32:48
Inscrit le mardi 1 novembre 05 - 9864 commentaires
Mais vous faites dans le TRASH exprès, ces derniers jours sur PCI ?

Cette faille ne vient pas de l'iPad, mais d'AT&T.

De même, hier l'article titré "Apple censure l'adaptation BD de "Ulysse" de James Joyce" alors que jamais Apple n'a censuré ce titre : c'est le dev même de l'application qui s'est auto-censuré.

Donc :
Essayez juste d'être un tout petit peu plus exacts dans les titres et les news, et de ne pas faire dans "auto-trollL".
Parceque si, moi, j'envisage d'aller voir ailleurs ce qui s'y passe, certainement des milliers d'autres lecteurs de PCI sont dans le même cas.
Excédés.

Lit un peu la news au lieu de juste lire le titre...De plus apple reste quand même responsable avec son obligatoire d'adresse email pour activer sa tablette.

De plus le tire ne dit pas que la faille est sur l'ipad, juste qu'une faille impact les utilisateurs d'ipad c'est pas pareil...


Edité par Burn2 le jeudi 10 juin 2010 à 10:33
Avatar de libertyblood INpactien
libertyblood Le jeudi 10 juin 2010 à 10:33:36
Inscrit le dimanche 22 mai 05 - 284 commentaires
Aïe, pad' bol
Avatar de misterB INpactien
misterB Le jeudi 10 juin 2010 à 10:34:28
Inscrit le vendredi 22 octobre 04 - 145758 commentaires
Oué mais en fait non j'avais mal lut:

Donc à part utiliser une adresse "poubelle" d'activation le vpn n'aurait rien changé.

Oui mais bon je dirais que AT&T sont quand même de gros branleurs
;