Hack du site iPad d'AT&T : deux experts accusés
Deux cent mille dollars d’amende et cinq ans de prison.VGP-BPS13/B Voilà ce que risquent Andrew Auernheimer et Daniel Spitler pour avoir, selon le procureur fédéral du New Jersey,VGP-BPS13A/Q Paul J. Fishman, « hacké les serveurs d’AT&T » et récupéré des centaines de milliers d’adresses e-mail.Ils viennent d’être arrêtés par le FBI et déférés devant une cour fédérale.VGP-BPS13B/B
Rappel des faits : le 9 juin 2010, Gawker publie un « scoop » qui va faire grand bruit. Le site, qui évoque à tort « la pire brèche de sécurité d’Apple »,VGP-BPS13B/Q indique avoir eu accès à « la liste d’e-mails la plus sélecte de la planète ». Enfait, 114 000 adresses (sans les identifiants correspondants) de possesseurs du tout nouvel iPad 3G.VGP-BPS13B/S On repère notamment celles de militaires et de hauts fonctionnaires et même celle de Rahm Emanuel, alors chef de cabinet de la Maison-Blanche.VGP-BPS13 En plein buzz autour de l’iPad, l’histoire fait le tour du Web, et l’opérateur AT&T, directement mis en cause, voit rouge.VGP-BPS13/Q
Des adresses facilement subtilisées
Ces adresses, ce sont Auernheimer et Spitler qui les ont fournies à Gawker. Tous deux font partie de Goatse Security,
VGP-BPS13/S un petit groupe d’experts en informatique qui traque les failles de sécurité dans des logiciels et des services très populaires.
VGP-BPS13A/B Et Auernheimer a justement découvert quelques jours plus tôt un trou béant sur le site d’AT&T destiné aux utilisateurs d’iPad.
VGP-BPS13A/S
Concrètement, le site d’AT&T associait automatiquement l’adresse e-mail d’un abonné à son ICC-ID (le numéro d’identification unique de sa carte SIM).
VGP-BPS13AS Ainsi, lorsqu’il se connectait avec un iPad, le site renvoyait automatiquement l’adresse e-mail de l’utilisateur afin d’accélérer le remplissage d’un formulaire.
vgp-bps13S Petit problème : il n’était pas réservé aux utilisateurs de la tablette… Tout le monde pouvait librement y accéder à condition d’en connaître l’adresse.
vgp-bps2a
« A cause du manque de rigueur des ingénieurs Web d’AT&T, il n’y avait aucun mécanisme pour empêcher quelqu’un de prendre simplement un numéro ICC-ID au hasard et de l’entrer sur le site,
vgp-bps2b encore et encore. Comme les ICC-ID d’AT&T sont consécutifs, récupérer une liste d’adresses e-mail était plutôt évident »,
vgp-bps2c indique Goatse Security dans un message posté hier. En quelques heures, Auernheimer et Spitlerécrivent ainsi un script PHP qui teste des ICC-ID au hasard sur le site d’AT&T et récupère l'e-mail de l’abonné le cas échéant. En quelques jours,
VGP-BPS8A ils obtiendront de cette manière quelque 120 000 adresses.
Leur objectif ? Selon eux, montrer que la sécurité des abonnés d’AT&T utilisant un iPad laisse à désirer.
VGP-BPS8B Problème : alors qu’en général les hackers préviennent les entreprises d’un problème de sécurité sans le dévoiler au public, les deux compères,
VGP-BPS8 sans doute en quête de publicité, ont envoyé leur liste d'e-mails à un journaliste de Gawker, contre l'engagement qu’il ne diffuserait aucune information personnelle…
VGP-BPL8 et après avoir attendu qu’AT&T corrige la faille. La suite, on la connaît.
Chevaliers blancs ou pirates avides d’argent ?
Goatse Security proteste donc énergiquement contre l’arrestation de ses membres,
Batterie HP Compaq nw9440 désormais accusés d’avoir accédé à un ordinateur sans autorisation et surtout d'avoir organisé une fraude en relation avec des informations personnelles.
Batterie HP Compaq nx7300 Or l’équipe est persuadée que, si l’article de Gawker n’avait pas eu une telle répercussion, jamais ses membres n’auraient été ennuyés par la police fédérale.
Batterie HP Compaq nx8200 « Les seules informations qui ont été glanées étaient des ICC-ID (qui sont complètement inutiles) liées à des adresses e-mail (qui ne sont pas des informations privées) »,
Batterie HP Compaq nx8220 se défend le groupe sur son blog, qui réfute même le terme de « hacking » tant il leur a été facile de récupérer les données.
Batterie HP Compaq nx7400 Goatse Security estime qu’ils sont surtout les victimes du puissant AT&T, qui n’a pas apprécié qu’on nuise ainsi à son image, et de Gawker,
Batterie HP Compaq nx8420 qui a amplifié de façon démesurée les faits.
Reste qu’une source anonyme a fourni à la justice des logs IRC dans lesquels les deux hackersévoquent la façon dont ils pourraient monétiser ces adresses,
Batterie HP Compaq nx9420 notamment en vendant cette liste de VIP à des spammeurs… De son côté, Goatse Security conteste vigoureusement qu’un simple fichier texte livré par une source anonyme puisse être utilisé comme preuve dans une affaire aussi grave.
HP Compaq PB992A Les deux hommes sont dans l’attente de leur procès.
Nicolas Sarkozy est décidément très concerné par la question des droits d'auteur sur Internet.
HP 462889-121 Après avoir fait voter une loi contre le piratage en ligne, Hadopi, il souhaite désormais que se tienne cette année un sommet du G20 (1) sur les droits d'auteur sur Internet.
HP 462889-421 Rappelons que la France préside actuellement le groupe des Vingt.
Lors de ses vœux au monde de la Culture et de l'Education,
HP 462890-151 à Paris, le chef de l'Etat a déclaré vouloir qu'un sommet ait lieu sur cette question avant celui de Cannes,
HP 462890-161 programmé pour les 3 et 4 novembre prochain. Il a aussi confirmé la tenue d'une réunion à la veille du G8 de Deauville,
HP 462890-251 en novembre 2011, réunissant chefs d'Etat et « grands intervenants de la société virtuelle ».
HP 462890-541
« Le jour où on ne rémunère plus la création, on tue la création »
Nicolas Sarkozy a évoqué beaucoup de « malentendus » concernant la loi Hadopi,
HP 462890-751 sans la citer.« Vous, les artistes, vous, les créateurs, vous ne pouvez pas passer d'une époque où vous aviez à faire face aux caprices des princes qui vous protègaient,
HP 462890-761 qui vous subventionnaient, à un système où le progrès fantastique que représente l'économie du numérique qui met à la disposition de tous,
HP 482186-003 à tout moment, toute la création (…) se ferait au détriment de la protection du droit à la création et du droit d'auteur » a-t-il ajouté.
HP 484170-001
« On ne peut pas d'un côté consommer comme jamais des images, de la musique, des auteurs, de la création,
HP 484170-002 et ne pas assurer le respect du droit de propriété de celui qui a mis toute son émotion, tout son talent et toute sa créativité » pour les concevoir,
HP 484171-001 selon lui.« C'est un sujet qui est beaucoup plus important que le seul sujet économique, parce que le jour où on ne rémunère plus la création,
HP 485041-001 on tue la création. »
Avec les acteurs de l'Internet, il dit vouloir « mettre sur la table une question centrale, celle de l'Internet civilisé.
HP 485041-003 Je ne dis même pas de l'Internet régulé, je dis de l'Internet civilisé. C'est de l'intérêt de tout le monde », a-t-il dit. S'oriente-t-on vers une nouvelle loi Hadopi,
HP 487296-001 comme évoqué au mois de décembre dernier?
(1) Groupe des 19 pays - Argentine, Australie, Brésil, Canada ,Chine, France, Allemagne, Italie, Royaume-Uni,
Batterie, Inde, Indonésie, Japon, Mexique, Russie, Arabie saoudite, Afrique du Sud, Corée du Sud,
tousfr Turquie et Etats-Unis - plus l'Union européenne, qui réunit régulièrement chefs d'Etat,
HP ministres et présidents de banque centrale.
