Deux cent mille dollars d’amende et cinq ans de prison. Voilà ce que risquent Andrew Auernheimer et Daniel Spitler pour avoir, selon le procureur fédéral du New Jersey, Paul J. Fishman, « hacké les serveurs d’AT&T » et récupéré des centaines de milliers d’adresses e-mail. Ils viennent d’être arrêtés par le FBI et déférés devant une cour fédérale.
Rappel des faits : le 9 juin 2010, Gawker publie un « scoop » qui va faire grand bruit. Le site, qui évoque à tort « la pire brèche de sécurité d’Apple », indique avoir eu accès à « la liste d’e-mails la plus sélecte de la planète ». En fait, 114 000 adresses (sans les identifiants correspondants) de possesseurs du tout nouvel iPad 3G. On repère notamment celles de militaires et de hauts fonctionnaires et même celle de Rahm Emanuel, alors chef de cabinet de la Maison-Blanche. En plein buzz autour de l’iPad, l’histoire fait le tour du Web, et l’opérateur AT&T, directement mis en cause, voit rouge.
Des adresses facilement subtilisées
Ces adresses, ce sont Auernheimer et Spitler qui les ont fournies à Gawker. Tous deux font partie de Goatse Security, un petit groupe d’experts en informatique qui traque les failles de sécurité dans des logiciels et des services très populaires. Et Auernheimer a justement découvert quelques jours plus tôt un trou béant sur le site d’AT&T destiné aux utilisateurs d’iPad.
Concrètement, le site d’AT&T associait automatiquement l’adresse e-mail d’un abonné à son ICC-ID (le numéro d’identification unique de sa carte SIM). Ainsi, lorsqu’il se connectait avec un iPad, le site renvoyait automatiquement l’adresse e-mail de l’utilisateur afin d’accélérer le remplissage d’un formulaire. Petit problème : il n’était pas réservé aux utilisateurs de la tablette… Tout le monde pouvait librement y accéder à condition d’en connaître l’adresse.
« A cause du manque de rigueur des ingénieurs Web d’AT&T, il n’y avait aucun mécanisme pour empêcher quelqu’un de prendre simplement un numéro ICC-ID au hasard et de l’entrer sur le site, encore et encore. Comme les ICC-ID d’AT&T sont consécutifs, récupérer une liste d’adresses e-mail était plutôt évident », indique Goatse Security dans un message posté hier. En quelques heures, Auernheimer et Spitler écrivent ainsi un script PHP qui teste des ICC-ID au hasard sur le site d’AT&T et récupère l’e-mail de l’abonné le cas échéant. En quelques jours, ils obtiendront de cette manière quelque 120 000 adresses.
Leur objectif ? Selon eux, montrer que la sécurité des abonnés d’AT&T utilisant un iPad laisse à désirer. Problème : alors qu’en général les hackers préviennent les entreprises d’un problème de sécurité sans le dévoiler au public, les deux compères, sans doute en quête de publicité, ont envoyé leur liste d’e-mails à un journaliste de Gawker, contre l’engagement qu’il ne diffuserait aucune information personnelle… et après avoir attendu qu’AT&T corrige la faille. La suite, on la connaît.
Chevaliers blancs ou pirates avides d’argent ?
Goatse Security proteste donc énergiquement contre l’arrestation de ses membres, désormais accusés d’avoir accédé à un ordinateur sans autorisation et surtout d’avoir organisé une fraude en relation avec des informations personnelles. Or l’équipe est persuadée que, si l’article de Gawker n’avait pas eu une telle répercussion, jamais ses membres n’auraient été ennuyés par la police fédérale. « Les seules informations qui ont été glanées étaient des ICC-ID (qui sont complètement inutiles) liées à des adresses e-mail (qui ne sont pas des informations privées) », se défend le groupe sur son blog, qui réfute même le terme de « hacking » tant il leur a été facile de récupérer les données. Goatse Security estime qu’ils sont surtout les victimes du puissant AT&T, qui n’a pas apprécié qu’on nuise ainsi à son image, et de Gawker, qui a amplifié de façon démesurée les faits.
Reste qu’une source anonyme a fourni à la justice des logs IRC dans lesquels les deux hackers évoquent la façon dont ils pourraient monétiser ces adresses, notamment en vendant cette liste de VIP à des spammeurs… De son côté, Goatse Security conteste vigoureusement qu’un simple fichier texte livré par une source anonyme puisse être utilisé comme preuve dans une affaire aussi grave. Les deux hommes sont dans l’attente de leur procès.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.