Un fichier d’UDID indélicat
OpenFeint, le très populaire réseau de joueurs multi-plateformes, a été particulièrement indélicat. Le service s’est constitué un fichier de 75 millions d’utilisateurs d’appareils iOS liant leurs UDID (l’identifiant unique d’un iPhone, iPod touch et iPad) avec leurs profils Facebook – du velours pour n’importe quelle entreprise marketing.
Il s’agissait toutefois là d’une faille pointée du doigt le mois dernier par Aldo Cortesi, un chercheur en sécurité, qui a prévenu Wired après s’être assuré qu’OpenFeint s’était occupé du problème. Le numéro UDID n’est pas censé être rattaché à l’identité du propriétaire; or, le lier avec son profil Facebook revient à parfaitement identifier l’utilisateur.
Apple et les développeurs utilisent ce code de 40 chiffres et lettres (unique et ineffaçable) comme d’une méthode pour identifier de façon anonyme le propriétaire d’un appareil iOS, par exemple dans le cas de beta-test d’apps.
Si OpenFeint a rapidement réagi de par son statut d’acteur reconnu et bien établi dans le petit monde du gaming sur iOS (on retrouve ses fonctionnalités dans des jeux aussi populaires que Fruit Ninja ou Tiny Wings), on imagine sans trop de mal ce qu’un éditeur peu scrupuleux pourrait faire de ce type de base de données. «Même si ça n’est une grande faille de sécurité, cela veux dire qu’avec votre iPhone, les développeurs d’apps peuvent potentiellement connaître ce que vous faites en-dehors de l’app», prévient Cortesi.
Charles Miller, interrogé par Wired, rebondit sur l’affaire : «La vie privée est balancée par la fenêtre avec les smartphones», assure t-il. «Vous transportez avec vous des appareils toujours connectés à internet et à un GPS. Vous téléchargez et utilisez des applications dont le but est de partager vos pensées et photos. (…) Basiquement, vous avez volontairement abandonné un peu de votre vie privée pour utiliser tels apps et appareils».
Alors que demain s’ouvrira la commission parlementaire US autour du respect de la vie privée (à laquelle participeront Apple et Google), cette affaire tombe décidément à pic… ou bien mal.
