Un million d’Apple ID accessibles

Un article anonyme posté sur Pastebin mène à un fichier …

Un article anonyme posté sur Pastebin mène à un fichier contenant 1 million d’Apple UDID, les identifications uniques des systèmes mobiles d’Apple.

Dans l’article posté sur Pastebin, les auteurs fulminent à l’encontre du service d’ordre américain, le FBI, en raison de son approche “hypocrite” des pirates. En effet, d’une part ceux-ci sont poursuivis par le FBI, mais en même temps, ils sont invités à participer à “l’exécution de leur agenda politique.”

Pour rendre les choses encore plus tentantes, un ‘sucre d’orge’ (‘candy’) est également offert sous la forme d’un fichier contenant un million d’Apple Unique Device IDentifiers (UDID) avec des informations supplémentaires filtrées. Il s’agirait d’un sous-ensemble d’un fichier de quelque 12 millions d’UDID, qui aurait été découvert sur une machine perdue en mars 2012 par un agent du FBI (Supervisor Special Agent Christopher K. Stangl du FBI Regional Cyber Action Team et du New York FBI Office Evidence Response Team, selon les auteurs de l’article posté). Le fichier pourrait à son tour provenir de la ‘National Cyber-Forensics & Training Alliance’, une a.s.b.l. qui “a créé depuis 1997 une vaste alliance entre des experts des secteurs public et privé (plus de 500 dans le monde), en vue d’appréhender les cyber-délits complexes et souvent d’origine internationale.”

Les auteurs de l’article poste entendent ainsi se plaindre du fait que le FBI peut suivre et donc espionner illégalement les utilisateurs de ces appareils.

Les Apple UDID sur le retour Les Apple UDID peuvent être utilisés par les développeurs d’applis en vue de suivre l’utilisation de leurs applications et suscitent entre autres un vif intérêt de la part d’annonceurs sur ces systèmes. Cela a conduit l’an dernier déjà à une augmentation de plaintes en matière de prétendues et réelles violations de la vie privée et à la décision d’Apple d’interdire aux développeurs l’accès à ces UDID. Les développeurs sont invités “à créer un identifiant unique pour leur appli” (iOS5). Au début de cette année, l’entreprise a même commencé à refuser les applis cherchant à accéder à l’UDID en raison de la pression croissante de la part des autorités et des organisations de défense de la vie privée. Cela a généré aussi des développements tels OpenUDID et SecureUDID, deux solutions open source pour développeurs qui pouvaient ainsi quand même utiliser l’UDID de manière sûre pour la vie privée.

Aujourd’hui, il est clair qu’Apple prépare une alternative à l’UDID. Cela a encore été confirmé lors de la récente Apple WorldWide Developers Conference, sans pour autant entrer dans les détails. Selon le Wall Street Journal, l’identifiant spécifique hardware serait remplacé par une forme de ‘tagging’, indépendamment de l’appareil.

La discorde fondamentale porte aussi sur le conflit existant entre les intérêts de l’utilisateur final – qui craint que son comportement et son utilisation d’un appareil soient tracés – et les intérêts commerciaux des créateurs d’applis et des annonceurs. En raison de l’utilisation cachée de moyens en vue de suivre les utilisateurs à la trace, ces derniers ont en quelque sorte perdu pas mal de crédit. Et c’est sans parler de la méfiance éprouvée par les utilisateurs vis-à-vis des abus de la part des autorités et des services d’ordre. La solution ne peut venir que d’une transparence réelle et contrôlable lors du téléchargement, de l’installation et de l’utilisation des applications et appareils, avec des procédures qui prévoient une autorisation formelle et explicite de l’utilisateur quant à l’utilisation de données qui sont recueillies par l’appli ou par l’utilisation de l’appareil, par exemple par le fournisseur de services.