Il y a environ deux semaines, le FBI a annoncé avoir démantelé l'infrastructure de Qakbot dans le cadre d'une opération de portée internationale. Pour mémoire, Qakbot est un élément majeur de l'écosystème de la cybercriminalité et est responsable de milliers d'infections par des maliciels dans le monde entier. Qakbot existe depuis 2008 et a été le précurseur d'un grand nombre d'intrusions informatiques, dont des attaques de ransomwares et la compromission de comptes d'utilisateurs dans le secteur financier. Ces actions ont causé des centaines de millions de dollars de pertes à des particuliers et à des entreprises en France, aux États-Unis et ailleurs.
Cependant, dans son annonce triomphale fin août, ce que le FBI a oublié de mentionner, c'est la manière dont lui et ses partenaires (France, Allemagne, Pays-Bas, Royaume-Uni, Roumanie et Lettonie) sont parvenus à perturber les activités illégales de Qakbot. En effet, la publication du mandat qui a régi les actions du FBI a révélé qu'un tribunal fédéral américain a autorisé l'agence à installer à distance un logiciel sur les ordinateurs des particuliers supposément infectés par les logiciels malveillants de Qakbot. Par la suite, le FBI a pu effectuer une analyse complète des appareils concernés afin de détecter et de supprimer les logiciels malveillants de Qakbot.
Le FBI a expliqué que quatre jours après avoir obtenu le mandat, l'agence a piraté l'infrastructure informatique centrale de Qakbot et a ensuite disloqué le réseau. Elle explique avoir éliminé discrètement des maliciels de plus de 700 000 ordinateurs dans le monde. « Le FBI a obtenu un accès légal à l'infrastructure de Qakbot et a identifié plus de 700 000 ordinateurs infectés dans le monde, dont plus de 200 000 aux États-Unis. Pour perturber le réseau de botnets, le FBI a redirigé le trafic de Qakbot vers des serveurs contrôlés par le Bureau qui ont demandé aux ordinateurs infectés de télécharger un fichier de désinstallation », indique le compte rendu du FBI.
« Ce fichier de désinstallation, créé pour supprimer le logiciel malveillant de Qakbot, a permis de détacher les ordinateurs infectés du réseau de botnets et d'empêcher l'installation de tout autre logiciel malveillant », ajoute l'agence. Tout cela a été accompli grâce à un mandat de cinq pages qui n'a pas grand-chose à dire sur la cause probable justifiant cette intrusion dans les ordinateurs des présumées victimes de Qakbot. Il autorisait le FBI à fouiller chaque ordinateur auquel il envoyait son logiciel. Mais ce qui n'est pas immédiatement clair à la lecture du mandat délivré par le tribunal, c'est la manière dont le FBI a déterminé quels ordinateurs étaient infectés.
Le mandant semble plutôt avoir autorisé une intrusion dans tous les ordinateurs auxquels le FBI pouvait accéder, les infections étant déterminées à l'issue de la recherche de masse. Le mandat précise que des techniques d'accès à distance peuvent être utilisées. Selon les critiques, il y a fort à parier que le FBI ne savait pas quels ordinateurs étaient infectés lorsqu'il a déployé sa "technique d'accès à distance". Cela signifie qu'il a été autorisé à cibler tout appareil auquel il pouvait accéder, les facteurs de contrôle n'apparaissant que quatre jours après qu'il a déjà effectué sa recherche. Les critiques craignent que ce type de mandat donne lieu à des abus.
Le mandat a été délivré le 21 août 2023 par le tribunal de district des États-Unis pour le district central de Californie et le document indique ce qui suit : « ce mandat autorise la perquisition des supports de stockage électronique identifiés dans l'annexe A et la saisie ou la copie d'informations stockées stockées électroniquement qui constituent des preuves et/ou des instruments de la conspiration de Qakbot et de la fraude informatique […]. Des techniques d'accès à distance peuvent être utilisées ». Selon le mandat, le FBI peut déployer des techniques d'accès à distance pour :
- perquisitionner les supports de stockage électronique identifiés et pour saisir ou copier à partir de ces supports toute information stockée électroniquement, telle que les clés de chiffrement et les listes de serveurs, utilisée par les administrateurs du réseau de botnets Qakbot pour communiquer avec les ordinateurs qui font partie de l'infrastructure du botnet Qakbot ;
- perquisitionner les supports de stockage électronique identifiés dans l'annexe A et saisir ou copier à partir de ces supports toute information stockée électroniquement, telle que les adresses IP et les informations de routage, nécessaire pour déterminer si un dispositif numérique identifié dans l'annexe A continue d'être contrôlé par les administrateurs de Qakbot après la saisie ou la copie des informations stockées électroniquement identifiées dans le paragraphe 1.
Le seul facteur atténuant est le dernier paragraphe du mandat approuvé : « le présent mandat n'autorise pas la saisie de biens matériels. Sous réserve des dispositions de la déclaration sous serment qui l'accompagne et des paragraphes 1 et 2, le présent mandat n'autorise pas la saisie ou la copie du contenu des supports de stockage électroniques identifiés dans l'annexe A, ni la modification de la fonctionnalité des supports de stockage électroniques identifiés dans l'annexe A ». Mais selon les critiques, cette circonstance n'est atténuante que si vous pensez que le FBI ne profitera pas de cette occasion pour chercher d'autres choses qui pourraient l'intéresser.
« Tout ce que cela signifie, c'est que le tribunal fait confiance au FBI pour ne pas abuser de cet accès. Et cela nous oblige tous à opérer selon la même norme douteuse, puisque le FBI a clairement indiqué qu'il n'est pas disposé ni légalement obligé d'informer les utilisateurs d'ordinateurs que leurs ordinateurs aient été compromis par le logiciel du FBI, même brièvement ou utilement. Compte tenu de cette absence de divulgation, il sera pratiquement impossible de contester les preuves d'autres activités criminelles qui auraient pu être obtenues au cours de cette perquisition de masse [au moins 700 000 ordinateurs sont concernés] », a écrit un critique.
Cela signifie également que les utilisateurs ne sont pas en mesure de vérifier le travail du FBI en s'assurant que leurs appareils ne sont pas infectés par un botnet ou par un logiciel malveillant du FBI. Le fait est qu'il existe désormais des mécanismes acceptés par les tribunaux qui permettraient facilement au FBI de s'engager dans des activités plus attentatoires aux droits des personnes - où des victimes de déploiements douteux de logiciels espions découvriraient un jour qu'elles ont été ciblées lors d'activités du FBI ostensiblement destinées à démanteler des botnets - sans trop s'inquiéter du contrôle judiciaire. Selon les critiques, il s'agit d'une pratique illégale.
Il y a de fortes chances que le FBI ait traité cette affaire de façon honnête et décente et qu'il ait rendu un service public utile. Cependant, la controverse grandit sur la toile. Le mandat du tribunal est perçu par de nombreux internautes comme une intrusion flagrante dans leur vie privée. Ils s'indignent du fait que le tribunal et le FBI n'ont pris aucune mesure visant à informer les personnes concernées. Ils craignent qu'à l'avenir, le FBI mette en avant une fausse opération de démantèlement de botnets pour obtenir un accès légal à des millions d'appareils électroniques aux États-Unis et dans le monde. « C'est un dangereux précédent », affirme un critique.
Sources : le ministère français de la Justice, le FBI, le mandat obtenu par le FBI (PDF)
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous du mandat délivré au FBI par la justice américaine ?
Cette opération représente-t-elle une intrusion dans la vie privée des personnes concernées ?
Que pensez-vous du fait que le FBI a choisi de ne pas informer les personnes concernées par l'opération ?
Le démantèlement d'un réseau de botnets justifie-t-elle une telle intrusion dans les ordinateurs des particuliers ?
Voir aussi
Le FBI et ses partenaires démantèlent l'infrastructure de Qakbot dans le cadre d'une opération multinationale de démantèlement cybernétique, responsable de 30 % des tentatives d'intrusion enregistrées
L'outil de surveillance le plus controversé du FBI est menacé, l'examen de l'accès du FBI aux renseignements étrangers révèle une mauvaise utilisation de la technologie de surveillance
Un document déclassifié révèle que le FBI a abusé de la loi sur l'espionnage étranger 280 000 fois en un an pour espionner les communications privées des Américains sous des prétextes fallacieux
Le FBI vient d'admettre qu'il achetait des données de localisation des Américains, une pratique controversée et jugée profondément problématique par les groupes de défense de la vie privée