Hacking Mobile

Le leak d’UDID : explications

Le mardi 4 septembre a sonné comme une rentrée agitée pour les utilisateurs d’appareils mobiles Apple. En effet, ils ont découvert qu’environ 12 millions d’UDID étaient dans la nature et qu’un million d’entre eux étaient répertoriés sur une liste facilement accessible.  Mais qu’est que l’UDID ? Quelles informations donne-t-il sur l’utilisateur? Est-il possible de changer l’UDID ?

UDID est l’acronyme d’Unique Device Identifier.  Il s’agit d’une chaîne de 40 caractères correspondant la valeur hexadécimale du numéro de série d’un appareil Apple, plus particulièrement les terminaux mobiles tels que l’iPad, l’iTouch et bien entendu, l’iPhone.

Il permet donc d’identifier un appareil de marque Apple et certaines applications demandaient l’UDID aux utilisateurs. Au mois de mai 2012, Apple a annoncé que les applications qui demanderaient cet identifiant seraient bannies de l’AppleStore. Ce fut le cas pour Tweetbot.

Pourquoi ce rejet ? Il convient de souligner que le numéro UDID, pris isolément, n’a pas grand-intérêt. Mais les applications qui le demandaient, avaient tendance à intégrer ce numéro dans des bases de données, qui étaient ensuite croisées avec d’autres bases de données. Mais les utilisateurs n’étaient pas informés de cet état de fait et ne donnaient donc pas leurs consentements.

Le croisement des informations par bases de données interposées permettait de tracer des profils assez précis des utilisateurs : nom, prénom, mais également identifiants et mots de passe sur réseaux sociaux, géolocalisation, messages privés. Ces profils permettaient notamment de procéder à des publicités ciblées.  Cela permettait également d’avoir une idée approximative de la consommation de matériel de marque Apple pour une personne.

C’est donc combiné avec diverses permissions donnant accès à diverses informations que l’UDID devient pertinent. Il est d’ailleurs à noter que si Apple considère que cette donnée est une information personnelle, Google n’a pas cette vision des choses. En effet, Apple n’est pas le seul à équiper ses terminaux d’un identifiant.

Le leak du 4 septembre 2012 n’est pas une première. Un autre cas a été recensé en 2011 avec OpenFeint et 75 millions d’identifiants UDID se retrouvèrent eux aussi dans la nature.

Pour les développeurs, au-delà de la question du marketing ciblé, cela permettait également de collecter certaines données statistiques, à savoir le nombre d’appareil ayant installé telle application et quel type d’appareil. Sans l’accès au numéro UDID, les statistiques seraient moins fines.  

Selon Apple, le numéro UDID ne serait pas modifiable par l’utilisateur. Selon des utilisateurs, le numéro UDID serait modifiable, du moins en surface. En effet, il existe un outil – disponible pour les iPhones jailbreakés – qui modifierait l’UDID. Par exemple, une application enregistre un appareil grâce au numéro UDID et laisse à l’utilisateur un essai de 15 jours. Au bout de 15 jours, l’utilisateur s’enregistre à nouveau sur l’application mais en donnant un autre numéro UDID, permettant ainsi d’utiliser l’application sans la payer.L’exemple donné ici était valable l’année dernière.  Dans la mesure où les applications ne doivent plus demander l’UDID, un UDIDFaker n’a plus aucun intérêt.

Il reste deux questions sans réponses à « l’incident » d’hier : que faisait un agent du FBI avec des numéros UDID ? Comment les a-t-il obtenus ?

Selon le compte Twitter sur service de presse du FBI, cette allégation serait fausse :

le démenti du FBI sur les UDID 

Affaire à suivre sur ce point.