CERT-XMCO : Fuite d’information personnelles relatives au client d’AT&T : une preuve de concepte embarrassante...
juin 2010 par CERT-XMCO
– Date : 17 Juin 2010
– Gravité : Faible
– Description :
Suite à la publication, hier, de l’existence d’une nouvelle fuite d’information de la part de l’opérateur américain AT&T (voir CXA-2010-0756), une preuve de concept a été publiée sur Internet.
Parmi les informations ayant été divulguées du site Internet de l’opérateur, nous annoncions hier la présence d’un numéro appelé "ICC-ID". Certaines personnes avaient alors prévenu AT&T de la possibilité de retrouver le numéro d’abonné à partir de celui-ci. Bien entendu, la fuite d’information "banale" s’en serait alors transformé en une fuite d’information personnelle. Une telle malveillance n’aura bien entendu pas du tout les mêmes implications pour l’opérateur...
Aujourd’hui, soit un jour même après qu’AT&T ait été prévenue, un petit programme vient de faire son apparition sur la toile. Cette preuve de concept permet de vérifier s’il est en effet possible ou non de récupérer son numéro d’identification personnel, qui est unique au sein du réseau de télécommunication. Cette preuve de concept devrait probablement être facheuse pour l’opérateur, puisqu’à partir d’un tel numéro, il serait théoriquement possible de tracer les abonnés, de réaliser des écoutes téléphoniques...
AT&T n’a pas encore réagi, mais il reste à espérer que les utilisateurs concernés se verront offrir une nouvelle carte SIM.
– Référence :
http://blog.vodun.org/2010/06/at-is-wrong-about-ipad-breach-i-have.html
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0756
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0766