S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

iPad : une négligence d'AT&T expose 114 000 adresses email

Une tablette ébréchée

ipadCela fait environ deux mois que l’iPad a été commercialisé aux États-Unis, et Apple a écoulé depuis plus de deux millions de ses tablettes. Seulement voilà : une énorme faille de sécurité vient d’être révélée par le site Gawker. Conséquence : des dizaines de milliers de personnes sont concernées et des données très personnelles ont pu être volées. Explications.

L'information qui circulait en clair

La faille en question ne touche pas l’iPad directement, mais le réseau de l’opérateur de téléphonie mobile AT&T, partenaire exclusif d’Apple sur la tablette, ainsi que sur l’iPhone. Selon Gawker, 114 000 personnes auraient été touchées par cette faille, qui permet de récupérer les adresses de courrier électronique. Or, dans la liste, on trouve des personnalités importantes, des membres haut-placés de l’armée américaine, des responsables, des hommes politiques, etc.

Comment fonctionne cette faille ? L’iPad possède, comme tous les téléphones et appareils embarquant une carte SIM, un ICCID. Cet Integrated Circuit Card ID est unique pour chaque SIM et correspond à une suite de 19 ou 20 chiffres, et elle ne peut donc être rattachée qu’à un seul abonné. Or, cette donnée circule en clair sur le site Web d’AT&T, et c’est par cette voie que certains se sont engouffrés pour récupérer les adresses email.

Les découvreurs de cette faille font partie d’un groupe nommé Goatse Security. Il ne s’agit pas d’une entreprise, mais d’un groupe de hackers. On compte à leur actifs plusieurs failles trouvées dans les navigateurs Firefox et Safari, mais également dans le système de notation d’Amazon. La technique employée a été la suivante : un script PHP interrogeant le serveur d’AT&T et automatisant les requêtes HTML qui contenaient des ICCID. Ces ICCID avaient été obtenus par simple déduction, les hackers connaissant leur apparence en cherchant dans des iPad. La requête renvoyait alors à chaque fois l’adresse électronique qui avait été utilisée par l’abonné pour activer sa tablette.

Responsabilité et conséquences

Il y a donc double-faute ici : Apple d’un côté pour rendre obligatoire l’utilisation d’une adresse email pour l’activation, et AT&T de l’autre pour avoir fait circuler en clair cette information sur son propre site Web. Bien entendu, si l’on compare, on dira qu’Apple a mis en place une procédure qui comporte des risques, tandis qu’AT&T est clairement responsable de la faille sur son propre site.

Et l’histoire n’aurait certainement pas pris autant d’ampleur si les personnes touchées n’était pas aussi importantes :

gawker faille ipad at&t 

On le voit sur la capture, ce sont en partie des personnalités officielles qui ont été touchées. On trouve ainsi plusieurs personnes travaillant au DARPA, le centre de recherche du département américain de la Défense. William Eldredge, qui dirige la plus grosse division opérationnelle de bombardement stratégique, fait également partie des victimes. Même le chef du personnel de la Maison Blanche, Rahm Emanuel, est concerné.

Et ce n’est pas fini, car on trouve également des chefs d’entreprise ou d’importants responsables :

gawker faille ipad at&t 

Les PDG du New York Times et de Time Inc., le président de News Corp. ou encore le PDG de Dow Jones, à qui appartiennent l’indice du même nom ainsi que la Wall Street Journal, ont tous vu leurs adresses email révélées.

Ce n'est peut-être pas terminé

Au vu du nombre de personnes touchées, ce n’est d’ailleurs pas tant les adresses proprement dites qui sont importantes que les personnes à qui elles sont rattachées. AT&T a indiqué que la brèche avait été colmatée mardi, mais toute personne ayant acheté un iPad aux États-Unis et ayant utilisé le réseau AT&T jusqu’au lundi 7 juin est potentiellement touchée. En effet, Goatse Security a précisé que le script PHP avait été donné à d’autres tiers avant la résolution du problème : en clair, on ne sait pas qui en a profité, et dans quelles proportions.

Différents experts en sécurité contactés par Gawker ont indiqué qu’en dehors de la publication des adresses email, le fait de connaître l’ICCID n’est pas dramatique en soi. Emmanuel Gadaix, consultant en sécurité et ancien de chez Nokia, a ainsi indiqué : « Il y a eu des vulnérabilités dans le chiffrement GSM découvertes ces dernières années, aucune n’a impliqué l’ICCID. Autant que je sache, aucune vulnérabilité ou méthode d’exploitation n’utilise l’ICCID ». Karsten Nohl, hacker « white hat » et docteur en sciences informatiques à l’université de Virginie, explique que la révélation de l’ICCID n’a aucune conséquence directe sur la sécurité, car les communications sont très bien chiffrées sur les réseaux mobiles. Mais il s’est montré par contre très critique envers AT&T, qu’il taxe de négligence.

En attendant, la direction du New York Times a envoyé un courrier générale pour demander aux employés possédant un iPad de couper leur accès 3G jusqu’à avis contraire. Ce n’est sûrement pas la seule entreprise à avoir procédé de cette manière, et on imagine que le personnel du gouvernement et de l’armée est touché par des mesures similaires.

Reste qu’en attendant, Apple ne dit rien. Mais même si la faute d’AT&T ne fait pas de doute, cela ne peut qu’affecter négativement la communication autour de la tablette. 
Source : Gawker
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 10/06/2010 à 10:13

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 217 commentaires

Avatar de huskie INpactien
huskie Le jeudi 10 juin 2010 à 10:18:02
Inscrit le mercredi 20 avril 05 - 29925 commentaires
IPad, le chien.
Avatar de Burn2 INpactien
Burn2 Le jeudi 10 juin 2010 à 10:18:55
Inscrit le mardi 1 novembre 05 - 9864 commentaires
Mais genre ils n'utilisent pas de vpn pour sortir via leur réseau sécurisé????

(à moins qu'il n'y ait pas de client vpn pour l'ipad et dans ce cas qu'est ce que ça vient faire dans le monde pro?? )

Edité par Burn2 le jeudi 10 juin 2010 à 10:20
Avatar de Tah82 INpactien
Tah82 Le jeudi 10 juin 2010 à 10:20:05
Inscrit le vendredi 7 avril 06 - 612 commentaires
Mais genre ils n'utilisent pas de vpn pour sortir via leur réseau sécurisé????


Sa prend en charge les VPNs l'iPad ?

Edité par Tah82 le jeudi 10 juin 2010 à 10:20
Avatar de Burn2 INpactien
Burn2 Le jeudi 10 juin 2010 à 10:21:01
Inscrit le mardi 1 novembre 05 - 9864 commentaires

Sa prend en charge les VPNs l'iPad ?

Je viens d'éditer, en me posant la question...
Avatar de socratee INpactien
socratee Le jeudi 10 juin 2010 à 10:25:12
Inscrit le mardi 18 mai 10 - 183 commentaires
Et voilà les perpétuels failles des OS apple, après l'iphone et l'ipod, l'ipad.



Avatar de Gu1vO INpactien
Gu1vO Le jeudi 10 juin 2010 à 10:25:56
Inscrit le jeudi 26 mars 09 - 55555 commentaires
Et voilà les perpétuels failles des OS apple, après l'iphone et l'ipod, l'ipad.





Faut apprendre à lire, mon gars

La faille en question ne touche pas l’iPad directement, mais le réseau de l’opérateur de téléphonie mobile AT&T
Avatar de tetrapak INpactien
tetrapak Le jeudi 10 juin 2010 à 10:26:02
Inscrit le vendredi 27 juin 08 - 4345 commentaires
Évidemment qu'il est possible de faire un VPN
Avatar de misterB INpactien
misterB Le jeudi 10 juin 2010 à 10:26:58
Inscrit le vendredi 22 octobre 04 - 145758 commentaires
Avatar de colonelhati INpactien
colonelhati Le jeudi 10 juin 2010 à 10:27:01
Inscrit le mercredi 23 novembre 05 - 980 commentaires
Rien a voir avec une faille de l'OS, preuve en est que le problème n'existe que sur le réseau AT&T...

C'est assez flippant, mais bon ça va, les emails pro, c'est pas comme s'ils étaient secrets, vu qu'en général tout les employés ont une adresse créées suivant le même modèle.
Avatar de atomusk Modérateur
atomusk Le jeudi 10 juin 2010 à 10:27:23
Inscrit le mardi 20 juillet 04 - 21714 commentaires
Marrant que certains pensent que la faille vienne de l'ipad

c'est clairement une faille de AT&T

Enfin bon, en voilà un fichier qui va couter cher sur la marché

Des personnes aisés, qui ont un ipad, qui sont féru de technologie, et des early adopters ... y a bon pour les vendeurs ou les fisher
;