À la mi-2021, Apple a fourni des données clients à des hackers après qu'ils se soient fait passer pour des responsables des forces de l'ordre, a indiqué un nouveau rapport de Bloomberg. Selon des personnes proches du dossier, la société a fourni des informations de base sur les abonnés en raison de fausses « demandes de données d'urgence ». Il est expliqué que « normalement, de telles demandes ne sont fournies qu'avec un mandat de perquisition ou une citation à comparaître signés par un juge. Toutefois, de telles demandes d'urgence ne nécessitent pas d'ordonnance du tribunal ». Aux côtés d'Apple, Meta, la société mère de Facebook, a également fourni aux pirates les données des utilisateurs. Snapchat a également reçu une demande des mêmes hackers, bien qu'il ne soit pas clair si la société a fourni des informations.Selon un rapport de Bloomberg, Apple et Meta ont transmis les données des utilisateurs à des hackers qui ont falsifié des ordres de demande de données d'urgence généralement envoyés par les forces de l'ordre. L'erreur s'est produite à la mi-2021, les deux sociétés tombant dans le piège des fausses demandes et fournissant des informations sur les adresses IP, les numéros de téléphone et les adresses personnelles des utilisateurs.
Pour mémoire, aux États-Unis, lorsque les organismes fédéraux, étatiques ou locaux d'application de la loi souhaitent obtenir des informations sur le propriétaire d'un compte dans une entreprise de médias sociaux ou sur les adresses Internet utilisées par un compte de téléphone portable spécifique dans le passé, ils doivent soumettre un mandat du tribunal ou une assignation à comparaître délivrée par un tribunal. Pratiquement toutes les grandes entreprises technologiques desservant un grand nombre d'utilisateurs en ligne ont des services qui examinent et traitent régulièrement ces demandes, qui sont généralement accordées lorsque les documents appropriés sont fournis et que la demande semble provenir d'une adresse e-mail connectée à un nom de domaine de service de police réel.
Mais dans certaines circonstances, comme une affaire impliquant un préjudice imminent ou un décès, une autorité chargée de l'enquête peut faire ce que l'on appelle une demande de données d'urgence (EDR), qui contourne en grande partie tout examen officiel et n'exige pas que le demandeur fournisse des documents approuvés par le tribunal.
Une situation qui est de plus en plus exploitée par des hackers. Comme l'explique un récent rapport de Krebs on Security :
« Il existe une "méthode" terrifiante et très efficace que les pirates informatiques utilisent désormais pour récolter des données clients sensibles auprès des fournisseurs de services Internet, des compagnies de téléphone et des entreprises de médias sociaux. Cela implique de compromettre les comptes de messagerie et les sites Web liés aux services de police et aux agences gouvernementales, puis d'envoyer des demandes non autorisées de données d'abonné tout en affirmant que les informations demandées ne peuvent pas attendre une ordonnance du tribunal, car elles concernent une question urgente de vie ou de mort. »
« Il est maintenant clair que certains pirates ont compris qu'il n'y a pas de moyen rapide et facile pour une entreprise qui reçoit l'un de ces EDR de savoir s'il est légitime. En utilisant leur accès illicite aux systèmes de messagerie de la police, les pirates enverront un faux EDR accompagné d'une attestation selon laquelle des personnes innocentes souffriront probablement beaucoup ou mourront si les données demandées ne sont pas fournies immédiatement. »
« Dans ce scénario, l'entreprise destinataire se retrouve coincée entre deux résultats peu recommandables : ne pas se conformer immédiatement à un EDR - et avoir potentiellement le sang de quelqu'un sur les mains - ou éventuellement divulguer un dossier client à la mauvaise personne ».
Krebs note que la majorité des individus réalisant ces fausses requêtes sont en réalité des adolescents et Krebs, tout comme les chercheurs en cybersécurité cités par Bloomberg, pense que l'adolescent de 16 ans suspecté d'être le cerveau derrière le groupe de piratage Lapsus$ pourrait être impliqué dans la conduite de ce type d'escroquerie :
« La réalité que les adolescents se font désormais passer pour les forces de l'ordre pour assigner à comparaître des données privilégiées sur leurs cibles est évidente dans la trame de fond dramatique derrière Lapsus$, le groupe d'extorsion de données qui a récemment piraté certaines des entreprises technologiques les plus précieuses au monde, notamment Microsoft, Okta , NVIDIA et Vodafone ».
Dans un billet de blog sur leur récent piratage, Microsoft a déclaré que Lapsus$ avait réussi ses attaques contre ses cibles grâce à une combinaison d'attaques low-tech, impliquant principalement une ingénierie sociale à l'ancienne comme la corruption d'employés ou de sous-traitants pour l'organisation cible :
« Contrairement à la plupart des groupes d'activités qui restent sous le radar, DEV-0537 [ndlr. un autre identifiant de Lapsus$] ne semble pas couvrir ses traces. Ils vont jusqu'à annoncer leurs attaques sur les réseaux sociaux ou à annoncer leur intention d'acheter des identifiants à des employés d'organisations cibles. DEV-0537 utilise également plusieurs tactiques qui sont moins fréquemment utilisées par d'autres acteurs malveillants suivis par Microsoft. Leurs tactiques incluent l'ingénierie sociale par téléphone ; les échanges de carte SIM pour faciliter la prise de contrôle de compte ; l'accès aux comptes de messagerie personnels des employés des organisations cibles ; le paiement des employés, des fournisseurs ou des partenaires commerciaux des organisations cibles pour accéder aux informations d'identification et d'approbation de l'authentification multifacteur (MFA) et s'immiscer dans les appels de communication de crise en cours de leurs cibles. »
Des chercheurs des sociétés de sécurité Unit 221B et Palo Alto Networks affirment qu'avant le lancement de Lapsus$, le chef du groupe "White" (alias "WhiteDoxbin", "Oklaqq"
était un membre fondateur d'un groupe cybercriminel se faisant appeler "Recursion Team". Ce groupe s'est spécialisé dans l'échange de cartes SIM sur des cibles d'intérêt et dans la participation à des attaques de "swatting", dans lesquelles de fausses alertes à la bombe, des prises d'otages et d'autres scénarios violents sont communiqués par téléphone à la police dans le cadre d'un stratagème visant à les inciter à visiter une force potentiellement mortelle sur l'adresse d'une cible. Le fondateur de Recursion Team était un jeune britannique de 14 ans qui utilisait le pseudo "Everlynn". Le 5 avril 2021, Everlynn a publié un nouveau fil de vente sur le forum sur la cybercriminalité cracked[.]to intitulé « Service de mandat/d'assignation (obtenir des données des forces de l'ordre à partir de n'importe quel service) ». Le prix : 100 à 250 $ par demande.
« Les services [incluent] Apple, Snapchat, Google (plus cher), essentiellement n'importe quel site », pouvait-on lire sur l'annonce d'Everlynn, qui a été publiée par le compte d'utilisateur « InfinityRecursion ».
Un mois auparavant sur Cracked, Everlynn a publié un fil de vente, "1x Government Email Account || DEVENEZ UN AGENT FEDERAL !", qui annonçait la possibilité d'envoyer des e-mails à partir d'une agence fédérale au sein du gouvernement argentin.
« Je voudrais vendre un e-mail gouvernemental qui peut être utilisé pour une assignation à comparaître pour de nombreuses entreprises telles qu'Apple, Uber, Instagram, etc. », était-il expliqué sur le fil de vente d'Everlynn, fixant le prix à 150 $. « Vous pourrez avoir des accès à des comptes utilisateurs et obtenir des images privées de personnes sur SnapChat comme des nus, aller pirater votre petite amie ou autre. Vous n'obtiendrez pas la connexion pour le compte, mais vous obtiendrez essentiellement tout ce qui est dans le compte si vous jouez correctement vos cartes. Je ne suis pas légalement responsable si vous gérez mal cela. C'est très illégal et vous serez attaqué si vous n'utilisez pas de VPN. Vous pouvez également pénétrer dans les systèmes gouvernementaux pour cela, et trouver BEAUCOUP plus de données privées et les vendre pour bien, bien plus ».
Les réactions des entreprises
« Nous examinons chaque demande de données pour en vérifier la suffisance légale et utilisons des systèmes et des processus avancés pour valider les demandes des forces de l'ordre et détecter les abus », a déclaré Andy Stone, directeur de la politique et des communications de Meta, dans un communiqué. « Nous empêchons les comptes compromis connus de faire des demandes et travaillons avec les forces de l'ordre pour répondre aux incidents impliquant des demandes présumées frauduleuses, comme nous l'avons fait dans ce cas ».
Lorsqu'il lui a été demandé de commenter, Apple a redirigé les médias vers ses directives d'application de la loi, qui stipulent : « Si un gouvernement ou un organisme d'application de la loi recherche des données client en réponse à une demande d'information d'urgence du gouvernement et de l'application de la loi, un superviseur du gouvernement ou un agent d'application de la loi qui a soumis la demande d'informations d'urgence sur le gouvernement et les forces de l'ordre peut être contacté et invité à confirmer à Apple que la demande d'urgence était légitime ».
Meta et Apple ne sont pas les seules entreprises connues touchées par de fausses demandes de données d'urgence. Bloomberg indique que les hackers ont également contacté Snap avec une fausse demande, mais il n'est pas clair si l'entreprise a donné suite.
Du côté du rapport de Krebs on Security, Discord a confirmé que la plateforme a donné des informations en réponse à l'une de ces fausses demandes : « Nous pouvons confirmer que Discord a reçu des demandes d'un domaine d'application de la loi légitime et s'est conformé aux demandes conformément à nos politiques », a déclaré Discord. « Nous vérifions ces demandes en vérifiant qu'elles proviennent d'une source authentique, et nous l'avons fait dans ce cas. Bien que notre processus de vérification ait confirmé que le compte des forces de l'ordre lui-même était légitime, nous avons appris plus tard qu'il avait été compromis par un acteur malveillant. Nous avons depuis mené une enquête sur cette activité illégale et informé les forces de l'ordre du compte de messagerie compromis ».
« Cette tactique constitue une menace importante dans l'industrie technologique », a déclaré Peter Day, responsable du groupe Discord pour les communications d'entreprise, dans un communiqué. « Nous investissons en permanence dans nos capacités de confiance et de sécurité pour résoudre les problèmes émergents comme celui-ci ».
Allison Nixon, directrice de la recherche au sein de la cyberentreprise Unit 221B, prend la défense des équipes d'Apple et de Facebook qui s'occupent des demandes des forces de l'ordre :
« Dans chaque cas où ces entreprises se sont trompées, au cœur de cela, il y avait une personne essayant de faire la bonne chose. Je ne peux pas vous dire combien de fois les équipes de confiance et de sécurité ont tranquillement sauvé des vies parce que les employés avaient la flexibilité légale de réagir rapidement à une situation tragique qui se déroulait pour un utilisateur ».
Les deux sociétés publient des données sur leur conformité aux demandes de données d'urgence. De juillet à décembre 2020, Apple a reçu 1 162 demandes d'urgence et a fourni une réponse de données à 93 % de ces demandes. Facebook, en revanche, a reçu 21 700 demandes d'urgence de janvier à juin 2021 et a fourni des réponses à 77 % des demandes.
Sources : Bloomberg, Apple
Et vous ?
Quelle lecture en faites-vous ? Partagez-vous l'opinion d'Allison Nixon qui rappelle que : « Dans chaque cas où ces entreprises se sont trompées, au cœur de cela, il y avait une personne essayant de faire la bonne chose. Je ne peux pas vous dire combien de fois les équipes de confiance et de sécurité ont tranquillement sauvé des vies parce que les employés avaient la flexibilité légale de réagir rapidement à une situation tragique qui se déroulait pour un utilisateur » ? Dans quelle mesure ?Voir aussi :
Un jeune de 16 ans d'Oxford accusé d'être le cerveau derrière le groupe de cybercriminels Lapsus$ qui a piraté Microsoft, Nvidia, Samsung, LG Electronics et d'autres entreprises en quelques mois Microsoft confirme avoir été la cible d'un piratage alors que Lapsus$ divulgue 37 Go de code source, mais l'entreprise minimise l'incident et précise que les hackers n'ont eu qu'un accès « limité » 
