114 000 mails d’utilisateurs iPad compromis par une faille chez AT&T

On l’oublie parfois presque tant Apple se met en avant, mais la sécurité des smartphones et autres tablettes est également une affaire de FAI ou d’opérateurs. C’est ce qu’ont découvert 114 000 possesseurs de tablettes iPad 3G aux Etats-Unis, dont l'e-mail était accessible publiquement sur le net suite à une faille dans un service web d'AT&T. Interrogé avec pour paramètre un numéro d'ICC-ID (Integrated Circuit Card identifier, le n° unique attribué à chaque carte SIM), le service web d'AT&T retournait l'adresse de l'abonné. Il a depuis été retiré du site de l'opérateur.

C'est à l'origine le site Gawker qui a révélé la nouvelle de la faille, découverte par un groupe nommé Goatse Security, qui lui a fait parvenir un listing de 114000 adresses compromises. Parmi les personnalités concernées figurent notamment des chefs d'entreprises (dont Janet Robinson - CEO du NY Times -, Cathy Black - la CEO du groupe Hearst - ou Harvey Weinstein - le co-fondateur de Weinstein Co-), mais aussi des responsables militaires (par exemple William Eldredge, qui  dirige le plus important des groupes de bombardement stratégique de l'US Air Force) et des personnalités politiques, parmi lesquelles le secrétaire général de la Maison Blanche, Rahm Israel Emanuel, et le maire de New York Michael Bloomberg.

AT&T affirme que la faille est désormais comblée et que la seule information ayant été accessible est l'adresse électronique des abonnées. Une enquête interne est en cours - il semble que le script ait à l'origine été développé pour une application iPad-, mais l'opérateur n'a pour l'instant aucune idée du nombre d'adresses qui ont pu être collectées via la faille.