Nouveau rebondissement dans l'affaire des UDIDs ( Unique Device Indentifier ) d'Apple dérobés. Après le démenti du FBI puis d'Apple, c'est un aveu inattendu, celui de BlueToad.
Basée en Floride, la société développe des applications iOS pour plusieurs éditeurs de magazines. Lundi, le PDG de BlueToad a indiqué que sa société a été la victime d'une cyberattaque et pour conséquence le vol d'identifiants Apple.
Peu de temps après l'attaque, " un groupe inconnu a publié ces UDIDs sur Internet ", déclare Paul DeHart dans un billet sur le blog de BlueToad. La publication de près d'un million d'identifiants est annoncée identique à 98 % aux données volées à BlueToad qui dans cette affaire collabore avec les autorités.
Les révélations de BlueToad interviennent alors qu'un chercheur en sécurité pour Intrepidus Group a procédé à divers recoupements pour parvenir à une même conclusion quant à l'origine des UDIDs.
La semaine dernière, le groupe de hackers AntiSec a revendiqué la fameuse publication et a affirmé avoir en sa possession plus de 12 millions d'UDIDs. AntiSec a soufflé sur les braises des théories du complot en expliquant avoir mis la main sur ces données via l'exploitation d'une vulnérabilité Java sur l'ordinateur portable d'un agent du FBI.
La chronologie des événements ne cadre pas avec les aveux de BlueToad qui précise avoir été victime de l'attaque informatique il y a deux semaines. AntiSec a indiqué de son côté avoir récupéré les données en mars 2012.
BlueToad confie toutefois ne pas savoir ce qu'il est advenu des données provenant de ses systèmes. Ont-elles atterri sur un ordinateur du FBI ? Par ailleurs, BlueToad évalue à moins de 2 millions le nombre d'entrées issues de sa base de données compromise. S'ils disent vrai ( ou du moins en partie ), les hackers d'AntiSec ont des données à l'origine encore mystérieuse.
Rappelons qu'avec l'arrivée d'iOS 6, de nouvelles APIs seront introduites et remplaceront l'utilisation de l'UDID qui sera bannie.
