Du coup, la polémique autour des raisons pour lesquelles Apple aurait bien pu fournir ce genre d'informations au FBI n'en finit pas de désenfler à grands coups de "il ne faut pas croire tout ce qu'on lit en ligne"[1], se limitant désormais au cercle relativement restreint des conspirationnistes. Elle laisse donc place à une situation d'une affligeante banalité que beaucoup moins de gens commentent. Celle d'une société qui collecte via ses applications des données qu'elles ne devraient pas demander et qui les envoient se faire stocker, à des fins obscures, sur un backend bien évidemment mal sécurisé...

Alors, on nous explique que l'attaque a été détectée, que la faille exploitée a été promptement corrigée[2] et que l'ensemble de l'architecture est en train d'être renforcée sur les bons conseils d'une société reconnue mais pas nommée. On nous promet également, la main sur le cœur, qu'aucune donnée "hautement sensible" n'a été collectée et que les fameux UDID n'étaient stockées que conformément "aux pratiques de développement de l'industrie commerciale"[3]. Tournures intéressante qui me semble pouvoir tout et rien dire à la fois. On n'oublie enfin pas de nous assurer que l'éditeur s'est enfin mis en conformité avec les recommandations d'Apple[4], et donc que les nouvelles versions de ses applications n'enverraient plus le fameux UDID. Et quand bien même de vieilles versions continueraient à le faire que le backend les ignorerait fièrement.
Ceci dit, le billet de Blue Toad fait un usage assez intéressant de tournures évasives comme "''highly sensitives informations" ou encore "primarily consisted of" qui laissent à penser que, comme indiqué par Antisec, le fichier partiellement leaké puisse ne pas contenir que les seuls UDID, mais également d'autres informations tout aussi personnelles. Des données pas jugées hautement confidentielles par l'éditeur qui ne semble accorder de l'importance qu'aux numéros de cartes de crédit, numéros de sécurité sociale et/ou informations médicales. Bref ce qui pourrait lui valoir quelques déboires devant les tribunaux...

Apple, Blue Toad et d'autres, nous explique que la fuite de ces UDID ne représente pas un risque très important pour les utilisateurs affectés. J'aurais tendance à penser qu'un contraire, il s'agit d'une information sensible qui permet un véritable suivi des utilisateurs à leur insu. Information qu'Apple avait promis de bloquer suite aux pressions du congrès américain en particulier. Force est de constater que six mois plus tard, des applications parviennent encore accéder à votre UDID. Au delà des conséquences de la collecte de ce seul identifiant, on mesure également le potentiel de nuisances associé à la collecte de données comme vos noms, prénoms, numéros de téléphone, adresses postales ou électroniques, etc.

Blue Toad est un bon exemple parmi de nombreux autres de ces gens qui s'adonnent à cette pratique certes répandue, sinon généralisée, qui consiste à recueillir un maximum d'informations permettant de tracker les utilisateurs envers et contre toutes les recommandations, voire même réglementations. Pour ensuite se perdre en circonvolutions sémantiques dès qu'ils se font prendre la main dans le sac. Aussi serait-il temps que les autorités comme la CNIL par exemple, en charge de la protection de nos données personnelles, arrêtent de jouer les épouvantails et se décident à faire respecter la loi[5], à commencer par faire poursuivre les contrevenants...

Notes

[1] Sans déconner ?...

[2] Mais cependant trop tard...

[3] Mais contre les directives de développement d'Apple...

[4] Lequel a promis de bloquer l'accès à l'UDID par les applications.

[5] Ce qui peut également impliquer que le législateur leur donne des moyens supplémentaires pour le faire...