Article original datant du 30/03/22
Selon trois personnes ayant connaissance de l’affaire, Apple Inc. et Meta Platforms Inc, la société mère de Facebook, ont fourni des données de clients à des pirates informatiques qui se sont fait passer pour des agents de la force publique.
Apple et Meta ont fourni des détails de base sur les abonnés, comme l’adresse, le numéro de téléphone et l’adresse IP d’un client, à la mi-2021 en réponse aux fausses “demandes de données d’urgence“. Normalement, de telles réquisitions ne sont fournies qu’avec un mandat de perquisition ou une assignation à comparaître signée par un juge, selon les personnes. Cependant, les demandes d’urgence ne nécessitent pas d’ordonnance du tribunal.
Snap Inc. a reçu une fausse réquisition légale des mêmes hackers, mais on ne sait pas si l’entreprise a fourni des données en réponse. On ne sait pas non plus combien de fois les entreprises ont fourni des données suscitées par de fausses réquisitions légales.
Les chercheurs en cybersécurité soupçonnent que certains des pirates qui ont envoyé les fausses demandes sont des mineurs situés au Royaume-Uni et aux États-Unis. L’un des mineurs serait également le cerveau du groupe de cybercriminalité Lapsus$, qui a piraté Microsoft Corp, Samsung Electronics Co. et Nvidia Corp, entre autres, toujours selon les personnes. La police de la ville de Londres a récemment arrêté sept personnes dans le cadre d’une enquête sur le groupe de hackers Lapsus$ ; l’enquête est en cours.
Un représentant d’Apple a renvoyé Bloomberg News à une section de ses directives d’application de la loi.
Les directives auxquelles Apple fait référence indiquent qu’un superviseur du gouvernement ou de l’agent d’application de la loi qui a soumis la demande “peut être contacté et invité à confirmer à Apple que la demande d’urgence était légitime“, indique la directive d’Apple.
“Nous examinons chaque demande de données pour vérifier si elle est légalement suffisante et utilisons des systèmes et des processus avancés pour valider les demandes des forces de l’ordre et détecter les abus“, a déclaré Andy Stone, porte-parole de Meta, dans un communiqué. “Nous bloquons les comptes compromis connus pour les empêcher de faire des demandes et nous travaillons avec les forces de l’ordre pour répondre aux incidents impliquant des demandes suspectées d’être frauduleuses, comme nous l’avons fait dans ce cas.”
Snap n’a pas fait de commentaire immédiat sur l’affaire, mais un porte-parole a déclaré que l’entreprise a mis en place des mesures de protection pour détecter les demandes légales frauduleuses.
Les forces de l’ordre du monde entier demandent régulièrement aux plateformes de réseaux sociaux des informations sur les utilisateurs dans le cadre d’enquêtes criminelles. Aux États-Unis, ces demandes comprennent généralement une ordonnance signée d’un juge. Les demandes d’urgence sont destinées à être utilisées en cas de danger imminent et ne nécessitent pas la signature d’un juge.
Les pirates informatiques affiliés à un groupe de cybercriminalité connu sous le nom de “Recursion Team” seraient à l’origine de certaines des fausses demandes légales, qui ont été envoyées à des entreprises tout au long de l’année 2021, selon les trois personnes qui participent à l’enquête.
Recursion Team n’est plus actif, mais plusieurs de ses membres continuent de réaliser des piratages sous différents noms, notamment dans le cadre de Lapsus$, ont indiqué les personnes.
Les informations obtenues par les pirates à l’aide des fausses demandes légales ont été utilisées pour permettre des campagnes de harcèlement, selon l’une des personnes au courant de l’enquête. Les trois personnes ont déclaré qu’elles pourraient être principalement utilisées pour faciliter les systèmes de fraude financière. En connaissant les informations de la victime, les pirates pourraient s’en servir pour tenter de contourner la sécurité des comptes.
Bloomberg omet certains détails spécifiques des événements afin de protéger l’identité des personnes visées.
Les demandes juridiques frauduleuses font partie d’une campagne de plusieurs mois qui a ciblé de nombreuses entreprises technologiques et a commencé dès janvier 2021, selon deux des personnes. Les fausses demandes juridiques seraient envoyées via des domaines de messagerie piratés appartenant à des organismes d’application de la loi dans plusieurs pays, selon les trois personnes et une autre personne enquêtant sur l’affaire.
Les fausses demandes ont été faites pour paraître légitimes. Dans certains cas, les documents comprenaient les fausses signatures d’agents des forces de l’ordre réels ou fictifs, selon deux des personnes. En compromettant les systèmes de messagerie des forces de l’ordre, les pirates peuvent avoir trouvé des demandes légales légitimes et les avoir utilisées comme modèle pour créer des faux, selon l’une des personnes.
“Dans chaque cas où ces entreprises ont fait des bêtises, au cœur de l’affaire, il y avait une personne qui essayait de faire ce qu’il fallait“, a déclaré Allison Nixon, directrice de recherche de la cyber entreprise Unit 221B. “Je ne peux pas vous dire combien de fois les équipes de confiance et de sécurité ont discrètement sauvé des vies parce que les employés avaient la flexibilité légale de réagir rapidement à une situation tragique qui se déroulait pour un utilisateur.”
Mardi, Krebs on Security a rapporté que des pirates avaient falsifié une demande de données d’urgence pour obtenir des informations de la plateforme de réseaux sociaux Discord. Dans une déclaration à Bloomberg, Discord a confirmé qu’elle avait également répondu à une fausse demande légale.
“Nous vérifions ces demandes en contrôlant qu’elles proviennent d’une source authentique, et c’est ce que nous avons fait dans ce cas“, a déclaré Discord dans une déclaration. “Bien que notre processus de vérification ait confirmé que le compte des forces de l’ordre lui-même était légitime, nous avons appris par la suite qu’il avait été compromis par un acteur malveillant. Nous avons depuis mené une enquête sur cette activité illégale et avons informé les forces de l’ordre du compte de messagerie compromis.”
Apple et Meta publient tous deux des données sur leur conformité aux demandes de données d’urgence. De juillet à décembre 2020, Apple a reçu 1 162 demandes d’urgence provenant de 29 pays. Selon son rapport, Apple a fourni des données en réponse à 93% de ces demandes.
Meta a déclaré avoir reçu 21 700 demandes d’urgence de janvier à juin 2021 dans le monde entier et avoir fourni certaines données en réponse à 77% des demandes.
“En cas d’urgence, les forces de l’ordre peuvent soumettre des demandes sans procédure légale“, déclare Meta sur son site Web. “En fonction des circonstances, nous pouvons volontairement divulguer des informations aux forces de l’ordre lorsque nous avons une raison de bonne foi de croire que l’affaire implique un risque imminent de blessure physique grave ou de mort.”
Les systèmes permettant de demander des données aux entreprises sont un patchwork de différentes adresses e-mail et de portails d’entreprise. Répondre aux demandes légales peut être compliqué car il existe des dizaines de milliers d’organismes d’application de la loi différents, des petits services de police aux agences fédérales, dans le monde entier. Les différentes juridictions ont des lois variables concernant la demande et la divulgation des données des utilisateurs.
“Il n’y a pas de système unique ou centralisé pour soumettre ces choses“, a déclaré Jared Der-Yeghiayan, directeur de la société de cybersécurité Recorded Future Inc. et ancien responsable du programme cybernétique au Département de la sécurité intérieure. “Chaque agence les traite différemment“.
Des entreprises telles que Meta et Snap exploitent leurs propres portails pour que les forces de l’ordre puissent envoyer des demandes légales, mais elles acceptent toujours les demandes par email et surveillent les demandes 24 heures sur 24, a déclaré Der-Yeghiayan.
Apple accepte les réquisitions légales de données d’utilisateurs sur une adresse email apple.com, “à condition qu’elles soient transmises depuis l’adresse email officielle de l’organisme demandeur“, selon les directives légales d’Apple.
Compromettre les domaines de messagerie des forces de l’ordre du monde entier est dans certains cas relativement simple, car les informations de connexion de ces comptes sont disponibles à la vente sur des marchés criminels en ligne.
“Les boutiques clandestines du Dark Web contiennent des comptes de messagerie compromis d’organismes chargés de l’application de la loi, qui pourraient être vendus avec les cookies et les métadonnées joints pour un prix allant de 10 à 50 dollars“, a déclaré Gene Yoo, directeur général de la société de cybersécurité Resecurity, Inc.
Gene Yoo a déclaré que plusieurs organismes chargés de l’application de la loi ont été ciblés l’année dernière suite à des vulnérabilités précédemment inconnues dans les serveurs de messagerie Microsoft Exchange, “ce qui a conduit à d’autres intrusions.”
Il sera difficile de trouver une solution potentielle à l’utilisation de fausses demandes légales envoyées depuis des systèmes de messagerie d’application de la loi piratés, a déclaré Nixon, de l’Unité 221B.
“La situation est très complexe“, a-t-elle dit. “La résoudre n’est pas aussi simple que de fermer le flux de données. Il y a de nombreux facteurs que nous devons prendre en compte au-delà de la seule maximisation de la vie privée.”
(Mise à jour pour inclure la mention des récentes arrestations au Royaume-Uni)
