Apple iPad 26 Dans cette affaire, Apple n'a semble-t-il pas grand-chose à se reprocher et la faute en incombe a priori à AT&T et à son réseau. L'opérateur historique américain a présenté ses excuses en début de semaine en raison d'une faille de sécurité qui a exposé des informations sur les détenteurs d'iPad 3G. Via des identifiants ICC-IDS  liés à la carte SIM et propres à chaque abonné, des adresses e-mails relatives à l'appareil ont été compromises. Apparemment, il s'agit de la seule information qui a pu être mise en évidence.

Mardi, AT&T a colmaté la brèche de son système et affirme que plus aucune adresse e-mail ne peut être frauduleusement obtenue. Gawker a eu connaissance de la liste des adresses compromises, soit un total de 114 000 adresses électroniques dans lesquelles figure du beau monde. On notera ainsi la présence de dirigeants d'entreprises, de responsables militaires, d'hommes politiques dont l'actuel chef de cabinet de la Maison Blanche Rahm Emmanuel. Tous vont être prévenus par AT&T.

ipad-faille-1
ipad-faille-2

L'exploitation de la faille est l'œuvre d'un groupe dénommé Goatse Security qui a obtenu les données sensibles via un script présent sur le site d'AT&T. Des requêtes HTTP ont été envoyées aux serveurs avec comme paramètres des identifiants ICC-IDS, et ledit script a renvoyé des adresses e-mails. Les identifiants ICC-IDS ont tout simplement été déduits en fonction d'identifiants déjà connus.

Gawker craint toutefois que le compte de 140 000 pourrait ne pas s'arrêter là et augmenter encore, la méthode d'exploitation ayant été diffusée avant que AT&T ne corrige la vulnérabilité. Gawker estime par ailleurs qu'Apple a une petite part de responsabilité dans la mesure où la société oblige les utilisateurs à fournir une adresse e-mail pour activer leur iPad.