CERT-XMCO : AT&T et les produits Apple : de nouvelles données sensibles dans la nature
juin 2010 par CERT-XMCO
* iPhone 4 preorder system exposes private user data
– Date : 16 Juin 2010
– Gravité : Moyenne
– Description :
Après avoir appris la semaine dernière que des données personnelles de plus de 140 000 clients de l’opérateur américain AT&T ayant acheté un iPad étaient en accès libre sur Internet (voir CXA-2010-0726), c’est au tour des données personnelles appartenant aux clients ayant acheté un iPhone 4 d’être piratées.
En moins de deux semaines, AT&T aura réussi l’exploit de perdre coup sur coup les informations de plus de 110 000 clients. Parmi les adresses email des 114 000 "heureux" acheteurs du dernier gadget Apple, on peut retrouver celle de certaines personnes relativement connues telles que : la directrice du New York Times, une journaliste de la chaîne ABC, un producteur de films, ou encore celle du maire de NY.
La faille aurait été de plus relativement simple à exploiter, puisqu’il suffisait de se connecter sur la page de précommande pour être accueilli avec les informations issues du compte d’un autre client.
Par ailleurs, certains experts en sécurité ont annoncé avoir découvert que la fuite des informations relatives aux acheteurs d’iPad la semaine dernière pourrait être plus grave que ce qui était pensé jusqu’alors. En effet, parmi les informations rendues publiques, un numéro "non secret", appelé "ICC-ID" serait disponible. Bien que dans les normes, cette opération ne soit pas rendue possible, la réalité du monde des opérateurs télécom fait qu’il serait théoriquement possible d’obtenir le numéro unique IMSI de chaque client. Une telle information pourrait être utilisée pour tracer les utilisateurs d’iPad, ou encore pour mettre en place des attaques du type "homme du milieu" avec de fausses bornes ciblant un utilisateur particulier, afin de réaliser des écoutes téléphoniques.
Enfin, le hacker de 24 ans ayant réussi à pirater l’application et à obtenir ces informations aurait été arrêté pour détention de drogues.
– Référence :
http://www.theregister.co.uk/2010/06/15/iphone_preorder_privacy_breach/
http://www.theregister.co.uk/2010/06/16/auernheimer_arrested/
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0726
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0756