AntiSec, Apple et le FBI sont sur un bateau et ils sont en train de concocter l’un de ces scandales de sécurité informatique dont le milieu des nouvelles technologies raffole. Une affaire, en outre, à haute valeur anxiogène ajoutée car elle implique la publication sur Internet de données personnelles de plus d’un million d’utilisateurs d’iPhone, d’iPad ou d’iPod Touch. Et qui pose surtout le problème de la sécurisation de ces informations sur ces produits d’Apple.

Tout commence le lundi 3 septembre, lorsque le groupe d’”hacktivistes” AntiSec, proche de la mouvance des Anonymous, met en ligne certaines données personnelles - noms, e-mails, identifiants et mots de passe - de 1,2 million de propriétaires de produits mobiles d’Apple.

Ces trublions du Net affirment être en possession d’informations concernant 12 millions de personnes qu’ils auraient récupérées en piratant l’ordinateur portable d’un agent du FBI. AntiSec se demande alors pour quelle raison l’agence de renseignements américaine s’est procurée une telle base de données.

Après un moment de flottement du côté du FBI, ce dernier dément sur Twitter, mardi, que ces données sensibles ont été obtenues sur l’ordinateur de l’un des siens. “C’est totalement faux”, clame-t-il sur le célèbre réseau de microblogging.

Le FBI n’est pas le seul à être pointé du doigt dans cette affaire. Apple en prend aussi pour son grade. La sécurité des produits phares du groupe a été gravement mise en cause par cette fuite. La marque à la pomme sort donc du bois à son tour, mecredi, assurant à AllThingsDigital, le site spécialisé dans les nouvelles technologies du Wall Street Journal, “n’avoir jamais reçu de demande du FBI de lui remettre de telles informations et n’avoir jamais transmis ces données à une quelconque organisation”.

Au cœur de cette rocambolesque affaire de fuite de données, il y a les UDID ("Unique Device ID", ou "identifiants uniques") des produits d’Apple. Ce sont eux qu’AntiSec a pu récupérer, alors qu'ils étaient liés aux fameuses informations personnelles de leurs propriétaires. Ces marqueurs uniques qui permettent d’identifier chaque appareil Apple sont très décriés depuis plus d’un an. Le consultant en sécurité néo-zélandais Aldo Cortesi, notamment, en a fait son ennemi juré et juge, sur son blog, que cette histoire est une “catastrophe en matière de sécurité”. Explications.

UDID, vous avez dit UDID ?
C’est une série de chiffres présents dans tous les produits Apple qui permettent à chaque iPhone ou iPad d’être unique et identifié par la marque. Il s’agit, en quelque sorte, de leur plaque d’immatriculation, comme l’explique le site américain Ars Technica. Pour le connaître, il suffit d’aller sur iTunes et de cliquer sur le numéro de série de son produit.

Est-ce grave, docteur ?
En tant que tels, les UDID sont innocents. Mais depuis que les iPhone et autres produits Apple existent, une partie des applications - jusqu’à 68 %, selon un rapport d’octobre 2010 de l’expert en sécurité américain Eric Smith - qui s’installent sur ces produits les récupèrent.

Ces identifiants sont ensuite liés au compte de l’utilisateur pour suivre la manière dont l’application est utilisée. Ce sont ainsi de véritables bases de données où connaître l’UDID permet d’avoir accès au nom de l'utilisateur du produit, parfois à son adresse physique, à sa géolocalisation ou encore aux photos qu'il publie dans le cas d’applications comme Facebook ou Twitter.

Un trésor de guerre pour les agences de publicité qui, en recoupant les informations fournies par plusieurs applications, peuvent affiner les profils et diffuser des annonces personnalisées.

Apple tolère-t-il cette utilisation des UDID ?
Plus maintenant. Depuis qu'en décembre 2010, une action en justice collective contre Apple a soulevé le problème de la collecte de données personnelles par des développeurs d’application grâce aux UDID, la marque à la pomme a sévi.

Mais elle a pris son temps. En fait, il a fallu attendre octobre 2011 pour qu’Apple restreigne la possibilité, pour les applications, de récupérer cet identifiant sans l’autorisation de l’utilisateur. Le groupe refuse même, depuis mars 2012, toute nouvelle application qui demande les UDID.

Mais, en fait, le mal est déjà fait. Malgré la nouvelle approche d’Apple, les applications déjà existantes n’ont pas toutes nettoyé leur base de données où les UDID sont liés à des informations personnelles.