iPad : une négligence d'AT&T expose 114 000 adresses email

Cela fait environ deux mois que l’iPad a été commercialisé aux États-Unis, et Apple a écoulé depuis plus de deux millions de ses tablettes. Seulement voilà : une énorme faille de sécurité vient d’être révélée par le site Gawker. Conséquence : des dizaines de milliers de personnes sont concernées et des données très personnelles ont pu être volées. Explications.

L'information qui circulait en clair

La faille en question ne touche pas l’iPad directement, mais le réseau de l’opérateur de téléphonie mobile AT&T, partenaire exclusif d’Apple sur la tablette, ainsi que sur l’iPhone. Selon Gawker, 114 000 personnes auraient été touchées par cette faille, qui permet de récupérer les adresses de courrier électronique. Or, dans la liste, on trouve des personnalités importantes, des membres haut-placés de l’armée américaine, des responsables, des hommes politiques, etc.

Comment fonctionne cette faille ? L’iPad possède, comme tous les téléphones et appareils embarquant une carte SIM, un ICCID. Cet Integrated Circuit Card ID est unique pour chaque SIM et correspond à une suite de 19 ou 20 chiffres, et elle ne peut donc être rattachée qu’à un seul abonné. Or, cette donnée circule en clair sur le site Web d’AT&T, et c’est par cette voie que certains se sont engouffrés pour récupérer les adresses email.

Les découvreurs de cette faille font partie d’un groupe nommé Goatse Security. Il ne s’agit pas d’une entreprise, mais d’un groupe de hackers. On compte à leur actifs plusieurs failles trouvées dans les navigateurs Firefox et Safari, mais également dans le système de notation d’Amazon. La technique employée a été la suivante : un script PHP interrogeant le serveur d’AT&T et automatisant les requêtes HTML qui contenaient des ICCID. Ces ICCID avaient été obtenus par simple déduction, les hackers connaissant leur apparence en cherchant dans des iPad. La requête renvoyait alors à chaque fois l’adresse électronique qui avait été utilisée par l’abonné pour activer sa tablette.

Responsabilité et conséquences

Il y a donc double-faute ici : Apple d’un côté pour rendre obligatoire l’utilisation d’une adresse email pour l’activation, et AT&T de l’autre pour avoir fait circuler en clair cette information sur son propre site Web. Bien entendu, si l’on compare, on dira qu’Apple a mis en place une procédure qui comporte des risques, tandis qu’AT&T est clairement responsable de la faille sur son propre site.

Et l’histoire n’aurait certainement pas pris autant d’ampleur si les personnes touchées n’était pas aussi importantes :


On le voit sur la capture, ce sont en partie des personnalités officielles qui ont été touchées. On trouve ainsi plusieurs personnes travaillant au DARPA, le centre de recherche du département américain de la Défense. William Eldredge, qui dirige la plus grosse division opérationnelle de bombardement stratégique, fait également partie des victimes. Même le chef du personnel de la Maison Blanche, Rahm Emanuel, est concerné.

Et ce n’est pas fini, car on trouve également des chefs d’entreprise ou d’importants responsables :


Les PDG du New York Times et de Time Inc., le président de News Corp. ou encore le PDG de Dow Jones, à qui appartiennent l’indice du même nom ainsi que la Wall Street Journal, ont tous vu leurs adresses email révélées.

Ce n'est peut-être pas terminé

Au vu du nombre de personnes touchées, ce n’est d’ailleurs pas tant les adresses proprement dites qui sont importantes que les personnes à qui elles sont rattachées. AT&T a indiqué que la brèche avait été colmatée mardi, mais toute personne ayant acheté un iPad aux États-Unis et ayant utilisé le réseau AT&T jusqu’au lundi 7 juin est potentiellement touchée. En effet, Goatse Security a précisé que le script PHP avait été donné à d’autres tiers avant la résolution du problème : en clair, on ne sait pas qui en a profité, et dans quelles proportions.

Différents experts en sécurité contactés par Gawker ont indiqué qu’en dehors de la publication des adresses email, le fait de connaître l’ICCID n’est pas dramatique en soi. Emmanuel Gadaix, consultant en sécurité et ancien de chez Nokia, a ainsi indiqué : « Il y a eu des vulnérabilités dans le chiffrement GSM découvertes ces dernières années, aucune n’a impliqué l’ICCID. Autant que je sache, aucune vulnérabilité ou méthode d’exploitation n’utilise l’ICCID ». Karsten Nohl, hacker « white hat » et docteur en sciences informatiques à l’université de Virginie, explique que la révélation de l’ICCID n’a aucune conséquence directe sur la sécurité, car les communications sont très bien chiffrées sur les réseaux mobiles. Mais il s’est montré par contre très critique envers AT&T, qu’il taxe de négligence.

En attendant, la direction du New York Times a envoyé un courrier générale pour demander aux employés possédant un iPad de couper leur accès 3G jusqu’à avis contraire. Ce n’est sûrement pas la seule entreprise à avoir procédé de cette manière, et on imagine que le personnel du gouvernement et de l’armée est touché par des mesures similaires.

Reste qu’en attendant, Apple ne dit rien. Mais même si la faute d’AT&T ne fait pas de doute, cela ne peut qu’affecter négativement la communication autour de la tablette. 

Source : Gawker

Le 10 juin 2010 à 10:13 (18 518 lectures)

Tweeter

Actu Précédente Actu Suivante