AT&T a connu la semaine dernière une faille dans son système qui a dévoilé en tout pas loin de 114 000 adresses emails issues des comptes clients qui possédaient un  forfait 3G pour iPad. AT&T a décidé quelques jours après de prendre les devants (un peu lent à mon goût) et de rassurer ses clients en leur expliquant qu’ils peuvent utiliser leur forfait en toute confiance. AT&T a tout fait pour sécuriser la faille dès la connaissance de celle-ci.

“On June 7 we learned that unauthorized computer ‘hackers’ maliciously exploited a function designed to make your iPad log-in process faster by pre-populating an AT&T authentication page with the email address you used to register your iPad for 3G service. The self-described hackers wrote software code to randomly generate numbers that mimicked serial numbers of the AT&T SIM card for iPad – called the integrated circuit card identification (ICC-ID) – and repeatedly queried an AT&T web address. When a number generated by the hackers matched an actual ICC-ID, the authentication page log-in screen was returned to the hackers with the email address associated with the ICC-ID already populated on the log-in screen.

The hackers deliberately went to great efforts with a random program to extract possible ICC-IDs and capture customer email addresses. They then put together a list of these emails and distributed it for their own publicity.

As soon as we became aware of this situation, we took swift action to prevent any further unauthorized exposure of customer email addresses. Within hours, AT&T disabled the mechanism that automatically populated the email address. Now, the authentication page log-in screen requires the user to enter both their email address and their password.”

On peut donc voir que les hackers se sont servis d’une fonctionnalité censée accélérer l’authentification des utilisateurs sur le portail AT&T. Le logiciel hacker générait automatiquement un identifiant ICC-ID. Lorsque le code généré correspond à un ICC-ID existant alors AT&T renvoit l’adresse email. Du coup les hackers ont pu récupérer de nombreux comptes emails.

Bien évidemment AT&T a corrigé la faille dès qu’il en a pris connaissance en désactivant purement et simplement le système. Vous devez tout renseigner maintenant. AT&T alerte aussi les utilisateurs sur le fait que les emails ont été exposé et que ces adresses peuvent faire l’objet d’arnaques, phishing dans les mois à venir. Alors redoubler de vigilance ou changez complétement d’adresses si vous êtes concernez.

Ce que je trouve hallucinant, c’est qu’une simple fonctionnalité censée faciliter l’utilisation de son portail en arrive là. On parle de 114 000 emails révélés qui pourraient être vendus à n’importe qui. Même si soit ce n’est pas un élément super important de nos jours, quelqu’un de peu scrupuleux pourrait vendre à une base de données de newsletters ses adresses emails. De plus on connait quelques informations sur ces utilisateurs comme nom, prénom pour ceux qui auraient adoptés ce format et qu’ils aiment les nouvelles technologies. On peut donc cibler la vente.

AT&T a donc subit une attaque importante et je trouve ça un peu abuser de s’en sortir avec une simple lettre d’excuse. Je suis d’accord pour dire qu’AT&T n’a pas choisi de se faire pirater mais c’est de sa responsabilité de créer une application sécurisée. Je sais que cette question à savoir qui a la responsabilité n’a pas de réponse absolue, mais bon une simple lettre n’est pour moi pas une réponse suffisante à ce genre de souci d’autant plus qu’elle a été lente à se faire. Un geste commercial, une promesse d’enquêter dessus ou tout autre stratégie aurait été aussi bien si ce n’est mieux. Qu’en pensez-vous, est-ce la responsabilité d’AT&T ou des hackers ? Personnellement je penche pour la première proposition.

Source : Mashable