IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Apple et Meta ont partagé des données avec des hackers se faisant passer pour des agents des forces de l'ordre
Qui émettent des « demandes de données d'urgence »

Le , par Stéphane le calme

20PARTAGES

15  0 
À la mi-2021, Apple a fourni des données clients à des hackers après qu'ils se soient fait passer pour des responsables des forces de l'ordre, a indiqué un nouveau rapport de Bloomberg. Selon des personnes proches du dossier, la société a fourni des informations de base sur les abonnés en raison de fausses « demandes de données d'urgence ». Il est expliqué que « normalement, de telles demandes ne sont fournies qu'avec un mandat de perquisition ou une citation à comparaître signés par un juge. Toutefois, de telles demandes d'urgence ne nécessitent pas d'ordonnance du tribunal ». Aux côtés d'Apple, Meta, la société mère de Facebook, a également fourni aux pirates les données des utilisateurs. Snapchat a également reçu une demande des mêmes hackers, bien qu'il ne soit pas clair si la société a fourni des informations.

Selon un rapport de Bloomberg, Apple et Meta ont transmis les données des utilisateurs à des hackers qui ont falsifié des ordres de demande de données d'urgence généralement envoyés par les forces de l'ordre. L'erreur s'est produite à la mi-2021, les deux sociétés tombant dans le piège des fausses demandes et fournissant des informations sur les adresses IP, les numéros de téléphone et les adresses personnelles des utilisateurs.

Pour mémoire, aux États-Unis, lorsque les organismes fédéraux, étatiques ou locaux d'application de la loi souhaitent obtenir des informations sur le propriétaire d'un compte dans une entreprise de médias sociaux ou sur les adresses Internet utilisées par un compte de téléphone portable spécifique dans le passé, ils doivent soumettre un mandat du tribunal ou une assignation à comparaître délivrée par un tribunal. Pratiquement toutes les grandes entreprises technologiques desservant un grand nombre d'utilisateurs en ligne ont des services qui examinent et traitent régulièrement ces demandes, qui sont généralement accordées lorsque les documents appropriés sont fournis et que la demande semble provenir d'une adresse e-mail connectée à un nom de domaine de service de police réel.

Mais dans certaines circonstances, comme une affaire impliquant un préjudice imminent ou un décès, une autorité chargée de l'enquête peut faire ce que l'on appelle une demande de données d'urgence (EDR), qui contourne en grande partie tout examen officiel et n'exige pas que le demandeur fournisse des documents approuvés par le tribunal.

Une situation qui est de plus en plus exploitée par des hackers. Comme l'explique un récent rapport de Krebs on Security :

« Il existe une "méthode" terrifiante et très efficace que les pirates informatiques utilisent désormais pour récolter des données clients sensibles auprès des fournisseurs de services Internet, des compagnies de téléphone et des entreprises de médias sociaux. Cela implique de compromettre les comptes de messagerie et les sites Web liés aux services de police et aux agences gouvernementales, puis d'envoyer des demandes non autorisées de données d'abonné tout en affirmant que les informations demandées ne peuvent pas attendre une ordonnance du tribunal, car elles concernent une question urgente de vie ou de mort. »

« Il est maintenant clair que certains pirates ont compris qu'il n'y a pas de moyen rapide et facile pour une entreprise qui reçoit l'un de ces EDR de savoir s'il est légitime. En utilisant leur accès illicite aux systèmes de messagerie de la police, les pirates enverront un faux EDR accompagné d'une attestation selon laquelle des personnes innocentes souffriront probablement beaucoup ou mourront si les données demandées ne sont pas fournies immédiatement. »

« Dans ce scénario, l'entreprise destinataire se retrouve coincée entre deux résultats peu recommandables : ne pas se conformer immédiatement à un EDR - et avoir potentiellement le sang de quelqu'un sur les mains - ou éventuellement divulguer un dossier client à la mauvaise personne ».

Krebs note que la majorité des individus réalisant ces fausses requêtes sont en réalité des adolescents et Krebs, tout comme les chercheurs en cybersécurité cités par Bloomberg, pense que l'adolescent de 16 ans suspecté d'être le cerveau derrière le groupe de piratage Lapsus$ pourrait être impliqué dans la conduite de ce type d'escroquerie :

« La réalité que les adolescents se font désormais passer pour les forces de l'ordre pour assigner à comparaître des données privilégiées sur leurs cibles est évidente dans la trame de fond dramatique derrière Lapsus$, le groupe d'extorsion de données qui a récemment piraté certaines des entreprises technologiques les plus précieuses au monde, notamment Microsoft, Okta , NVIDIA et Vodafone ».

Dans un billet de blog sur leur récent piratage, Microsoft a déclaré que Lapsus$ avait réussi ses attaques contre ses cibles grâce à une combinaison d'attaques low-tech, impliquant principalement une ingénierie sociale à l'ancienne comme la corruption d'employés ou de sous-traitants pour l'organisation cible :

« Contrairement à la plupart des groupes d'activités qui restent sous le radar, DEV-0537 [ndlr. un autre identifiant de Lapsus$] ne semble pas couvrir ses traces. Ils vont jusqu'à annoncer leurs attaques sur les réseaux sociaux ou à annoncer leur intention d'acheter des identifiants à des employés d'organisations cibles. DEV-0537 utilise également plusieurs tactiques qui sont moins fréquemment utilisées par d'autres acteurs malveillants suivis par Microsoft. Leurs tactiques incluent l'ingénierie sociale par téléphone ; les échanges de carte SIM pour faciliter la prise de contrôle de compte ; l'accès aux comptes de messagerie personnels des employés des organisations cibles ; le paiement des employés, des fournisseurs ou des partenaires commerciaux des organisations cibles pour accéder aux informations d'identification et d'approbation de l'authentification multifacteur (MFA) et s'immiscer dans les appels de communication de crise en cours de leurs cibles. »

Des chercheurs des sociétés de sécurité Unit 221B et Palo Alto Networks affirment qu'avant le lancement de Lapsus$, le chef du groupe "White" (alias "WhiteDoxbin", "Oklaqq") était un membre fondateur d'un groupe cybercriminel se faisant appeler "Recursion Team". Ce groupe s'est spécialisé dans l'échange de cartes SIM sur des cibles d'intérêt et dans la participation à des attaques de "swatting", dans lesquelles de fausses alertes à la bombe, des prises d'otages et d'autres scénarios violents sont communiqués par téléphone à la police dans le cadre d'un stratagème visant à les inciter à visiter une force potentiellement mortelle sur l'adresse d'une cible.

Le fondateur de Recursion Team était un jeune britannique de 14 ans qui utilisait le pseudo "Everlynn". Le 5 avril 2021, Everlynn a publié un nouveau fil de vente sur le forum sur la cybercriminalité cracked[.]to intitulé « Service de mandat/d'assignation (obtenir des données des forces de l'ordre à partir de n'importe quel service) ». Le prix : 100 à 250 $ par demande.


« Les services [incluent] Apple, Snapchat, Google (plus cher), essentiellement n'importe quel site », pouvait-on lire sur l'annonce d'Everlynn, qui a été publiée par le compte d'utilisateur « InfinityRecursion ».

Un mois auparavant sur Cracked, Everlynn a publié un fil de vente, "1x Government Email Account || DEVENEZ UN AGENT FEDERAL !", qui annonçait la possibilité d'envoyer des e-mails à partir d'une agence fédérale au sein du gouvernement argentin.

« Je voudrais vendre un e-mail gouvernemental qui peut être utilisé pour une assignation à comparaître pour de nombreuses entreprises telles qu'Apple, Uber, Instagram, etc. », était-il expliqué sur le fil de vente d'Everlynn, fixant le prix à 150 $. « Vous pourrez avoir des accès à des comptes utilisateurs et obtenir des images privées de personnes sur SnapChat comme des nus, aller pirater votre petite amie ou autre. Vous n'obtiendrez pas la connexion pour le compte, mais vous obtiendrez essentiellement tout ce qui est dans le compte si vous jouez correctement vos cartes. Je ne suis pas légalement responsable si vous gérez mal cela. C'est très illégal et vous serez attaqué si vous n'utilisez pas de VPN. Vous pouvez également pénétrer dans les systèmes gouvernementaux pour cela, et trouver BEAUCOUP plus de données privées et les vendre pour bien, bien plus ».

Les réactions des entreprises

« Nous examinons chaque demande de données pour en vérifier la suffisance légale et utilisons des systèmes et des processus avancés pour valider les demandes des forces de l'ordre et détecter les abus », a déclaré Andy Stone, directeur de la politique et des communications de Meta, dans un communiqué. « Nous empêchons les comptes compromis connus de faire des demandes et travaillons avec les forces de l'ordre pour répondre aux incidents impliquant des demandes présumées frauduleuses, comme nous l'avons fait dans ce cas ».

Lorsqu'il lui a été demandé de commenter, Apple a redirigé les médias vers ses directives d'application de la loi, qui stipulent : « Si un gouvernement ou un organisme d'application de la loi recherche des données client en réponse à une demande d'information d'urgence du gouvernement et de l'application de la loi, un superviseur du gouvernement ou un agent d'application de la loi qui a soumis la demande d'informations d'urgence sur le gouvernement et les forces de l'ordre peut être contacté et invité à confirmer à Apple que la demande d'urgence était légitime ».

Meta et Apple ne sont pas les seules entreprises connues touchées par de fausses demandes de données d'urgence. Bloomberg indique que les hackers ont également contacté Snap avec une fausse demande, mais il n'est pas clair si l'entreprise a donné suite.

Du côté du rapport de Krebs on Security, Discord a confirmé que la plateforme a donné des informations en réponse à l'une de ces fausses demandes : « Nous pouvons confirmer que Discord a reçu des demandes d'un domaine d'application de la loi légitime et s'est conformé aux demandes conformément à nos politiques », a déclaré Discord. « Nous vérifions ces demandes en vérifiant qu'elles proviennent d'une source authentique, et nous l'avons fait dans ce cas. Bien que notre processus de vérification ait confirmé que le compte des forces de l'ordre lui-même était légitime, nous avons appris plus tard qu'il avait été compromis par un acteur malveillant. Nous avons depuis mené une enquête sur cette activité illégale et informé les forces de l'ordre du compte de messagerie compromis ».

« Cette tactique constitue une menace importante dans l'industrie technologique », a déclaré Peter Day, responsable du groupe Discord pour les communications d'entreprise, dans un communiqué. « Nous investissons en permanence dans nos capacités de confiance et de sécurité pour résoudre les problèmes émergents comme celui-ci ».

Allison Nixon, directrice de la recherche au sein de la cyberentreprise Unit 221B, prend la défense des équipes d'Apple et de Facebook qui s'occupent des demandes des forces de l'ordre :

« Dans chaque cas où ces entreprises se sont trompées, au cœur de cela, il y avait une personne essayant de faire la bonne chose. Je ne peux pas vous dire combien de fois les équipes de confiance et de sécurité ont tranquillement sauvé des vies parce que les employés avaient la flexibilité légale de réagir rapidement à une situation tragique qui se déroulait pour un utilisateur ».

Les deux sociétés publient des données sur leur conformité aux demandes de données d'urgence. De juillet à décembre 2020, Apple a reçu 1 162 demandes d'urgence et a fourni une réponse de données à 93 % de ces demandes. Facebook, en revanche, a reçu 21 700 demandes d'urgence de janvier à juin 2021 et a fourni des réponses à 77 % des demandes.

Sources : Bloomberg, Apple

Et vous ?

Quelle lecture en faites-vous ?
Partagez-vous l'opinion d'Allison Nixon qui rappelle que : « Dans chaque cas où ces entreprises se sont trompées, au cœur de cela, il y avait une personne essayant de faire la bonne chose. Je ne peux pas vous dire combien de fois les équipes de confiance et de sécurité ont tranquillement sauvé des vies parce que les employés avaient la flexibilité légale de réagir rapidement à une situation tragique qui se déroulait pour un utilisateur » ? Dans quelle mesure ?

Voir aussi :

Un jeune de 16 ans d'Oxford accusé d'être le cerveau derrière le groupe de cybercriminels Lapsus$ qui a piraté Microsoft, Nvidia, Samsung, LG Electronics et d'autres entreprises en quelques mois
Microsoft confirme avoir été la cible d'un piratage alors que Lapsus$ divulgue 37 Go de code source, mais l'entreprise minimise l'incident et précise que les hackers n'ont eu qu'un accès « limité »

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Nancy Rey
Chroniqueuse Actualités https://www.developpez.com
Le 28/04/2022 à 8:18
Des géants de la technologie dupés divulguent les données personnelles de leurs utilisateurs,
les données ont servi à escroquer et à harceler sexuellement des mineurs

De grandes entreprises technologiques ont été dupées pour fournir des informations personnelles sensibles sur leurs clients en réponse à des demandes légales frauduleuses, et les données ont été utilisées pour escroquer et même harceler sexuellement des mineurs, selon quatre responsables de l'application de la loi fédérale et deux enquêteurs du secteur, qui ont requis l’anonymat afin de pouvoir parler franchement de cette nouvelle forme de criminalité en ligne qui implique des victimes mineures. Parmi les entreprises qui ont accédé à ces fausses demandes figurent Meta, Apple, Google d'Alphabet, Snap, Twitter et Discord.


Les données obtenues frauduleusement ont été utilisées pour cibler des femmes et des mineurs spécifiques et, dans certains cas, pour faire pression sur eux afin qu'ils créent et partagent du contenu sexuellement explicite et pour exercer des représailles contre eux s'ils refusent, selon les six personnes sources. Cette tactique est considérée par les forces de l'ordre et d'autres enquêteurs comme le plus récent outil criminel permettant d'obtenir des informations personnelles identifiables qui peuvent être utilisées non seulement à des fins de gain financier, mais aussi pour escroquer et harceler des victimes innocentes. Elle est d'autant plus troublante que les attaquants parviennent à se faire passer pour des agents de la force publique. Il est impossible pour les victimes de se protéger contre cette tactique, car le meilleur moyen de l'éviter serait de ne pas avoir de compte sur le service visé, selon les personnes mentionnées.

Des pirates se faisant passer pour des forces de l'ordre

On ne sait pas combien de fois les demandes de données frauduleuses ont été utilisées pour harceler sexuellement des mineurs. Les services de police et les entreprises technologiques tentent toujours d'évaluer l'ampleur du problème. Étant donné que les demandes semblent provenir de services de police légitimes, il est difficile pour les entreprises de savoir quand elles ont été amenées à communiquer des données d'utilisateurs.

Néanmoins, les responsables de l'application de la loi et les enquêteurs ont déclaré qu'il semble que la méthode soit devenue plus courante au cours des derniers mois. « Je sais que les demandes de données d'urgence sont utilisées tous les jours dans le cadre d'urgences réelles mettant en danger la vie des personnes, et il est tragique que ce mécanisme soit utilisé de manière abusive pour exploiter sexuellement des enfants », a déclaré Alex Stamos, ancien responsable de la sécurité chez Facebook, qui travaille désormais comme consultant.

« Les services de police vont devoir se concentrer sur la prévention des compromissions de comptes avec une authentification multifactorielle et une meilleure analyse du comportement des utilisateurs, et les entreprises technologiques devraient mettre en œuvre une politique de rappel de confirmation ainsi que pousser les forces de l'ordre à utiliser leurs portails dédiés où elles peuvent mieux détecter les prises de contrôle de comptes », a ajouté Stamos.

Un porte-parole de Google a déclaré : « En 2021, nous avons découvert une demande de données frauduleuse provenant d'acteurs malveillants se faisant passer pour des représentants légitimes du gouvernement. Nous avons rapidement identifié un individu qui semblait être responsable et avons informé les forces de l'ordre. Nous travaillons activement avec les forces de l'ordre et d'autres acteurs du secteur pour détecter et prévenir les demandes de données illégitimes ».

Les employés de Facebook examinent chaque demande de données pour « vérifier la suffisance juridique et utilisent des systèmes et des processus avancés pour valider les demandes des forces de l'ordre et détecter les abus », a déclaré un porte-parole. De même, Rachel Racusen, une porte-parole de Snap, a déclaré que « l'entreprise examine attentivement chaque demande qu'elle reçoit des forces de l'ordre pour s'assurer de sa validité et a mis en place de multiples garanties pour détecter les demandes frauduleuses ». Un porte-parole de Discord a déclaré qu'ils valident toutes les demandes d'urgence.

Comment les pirates informatiques s'y prennent-ils ?

Les demandes d'urgence n'incluent généralement pas d'ordonnance signée par un juge, de sorte que les entreprises n'ont généralement aucune obligation légale de fournir des données. Mais il est généralement admis que les entreprises communiquent des données limitées en réponse à des demandes "de bonne foi" des forces de l'ordre impliquant un danger imminent. Le mois dernier, nous avons rapporté qu'Apple et Meta, la société mère de Facebook, ont fourni des données sur leurs clients à des pirates informatiques qui se sont fait passer pour des agents des forces de l'ordre. Les fausses demandes semblaient être principalement utilisées pour des fraudes financières.

La méthode exacte des attaques varie, mais elles tendent à suivre un schéma général, selon les agents des services répressifs. L'auteur de l'attaque commence par compromettre le système de messagerie électronique d'un service de police étranger. Ensuite, l'attaquant fait une "demande de données d'urgence" à une entreprise technologique pour obtenir des informations sur le compte d'un utilisateur, ont indiqué les agents. Ces demandes sont utilisées par les forces de l'ordre pour obtenir des informations sur des comptes en ligne dans des cas de danger imminent comme un suicide, un meurtre ou un enlèvement.

En échange, les entreprises fournissent à l'attaquant des informations de base sur l'abonné - les mêmes données que celles fournies aux forces de l'ordre en réponse à une citation à comparaître ordonnée par un tribunal, ont indiqué des responsables des forces de l'ordre et des personnes au fait des procédures judiciaires. Les données fournies varient selon les entreprises, mais comprennent généralement le nom, l'adresse IP, l'adresse électronique et l'adresse physique. Certaines entreprises fournissent davantage de données.

Bien qu'apparemment inoffensives, ces données personnelles, entre de mauvaises mains, peuvent être utilisées comme des armes. Les attaquants ont utilisé ces informations pour pirater les comptes en ligne des victimes ou pour se lier d'amitié avec des femmes et des mineurs avant de les encourager à fournir des photos sexuellement explicites. D’après les sources, la plupart des agresseurs seraient eux-mêmes des adolescents basés aux États-Unis et à l'étranger.


Si les victimes n'accèdent pas à leurs demandes, les agresseurs utilisent plusieurs techniques de harcèlement pour riposter

L'une des techniques déployées est le "swatting", qui consiste pour les agresseurs à envoyer une fausse menace à un répartiteur local du 911 afin d'obtenir une intervention des forces de l'ordre à l'adresse de leur cible. Dans de nombreux cas, des femmes mineures ont été victimes de swatting à leur domicile et à leur école, ont indiqué les responsables fédéraux de l'application des lois.

Une autre approche, appelée doxxing, consiste à publier en ligne des informations personnelles détaillées, notamment les numéros de téléphone et les adresses physiques des victimes et des membres de leur famille. Ces informations, qui sont parfois obtenues en partie par des demandes juridiques frauduleuses, sont généralement publiées sur des sites consacrés au doxxing, qui servent essentiellement d'invitation ouverte aux autres personnes du site à harceler la victime.

En outre, les auteurs ont menacé d'envoyer du contenu sexuellement explicite fourni par la victime à ses amis, aux membres de sa famille et à l'administration de son école si elle n'accédait pas à leurs demandes, selon les personnes concernées. Dans quelques cas, les victimes ont été poussées à graver le nom de l'agresseur sur leur peau et à en partager des photos, selon les représentants des forces de l'ordre.

Le problème des demandes légales falsifiées incite les entreprises à réfléchir à de nouveaux moyens de vérifier les demandes légales légitimes, selon une douzaine de personnes au fait de la question. « Les demandes frauduleuses de données d'urgence abusent de la base de 'bonne foi' du préjudice imminent, mais les fraudeurs sont également connus pour usurper des procédures légales légitimes telles que les assignations à comparaître et les mandats de perquisition en contrefaisant la signature d'un juge », a déclaré Matt Donahue, fondateur de Kodex, qui crée des logiciels permettant aux entreprises de gérer les demandes légales.

Allison Nixon, responsable de la recherche à la société de cybersécurité Unit 221b, a déclaré que la menace des auteurs mineurs devrait être une priorité pour l'industrie de la sécurité informatique et les forces de l'ordre. « Nous assistons maintenant à leur transition vers le crime organisé, avec toute la violence du monde réel et les abus sexuels qui l'accompagnent », a déclaré Allison Nixon, ajoutant que les pirates informatiques mineurs causent de graves dommages et que « nous devons commencer à les traiter comme des adultes ».

Source : Bloomberg

Et vous ?

Qu’en pensez-vous ?
À votre avis, les entreprises technologiques devraient-elles effectuer davantage de vérifications avant de communiquer des informations personnelles des utilisateurs ?

Voir aussi :

Apple et Meta ont partagé des données avec des hackers se faisant passer pour des agents des forces de l'ordre, qui émettent des « demandes de données d'urgence »

Un jeune de 16 ans d'Oxford accusé d'être le cerveau derrière le groupe de cybercriminels Lapsus$ qui a piraté Microsoft, Nvidia, Samsung, LG Electronics et d'autres entreprises en quelques mois
3  0 
Avatar de OrthodoxWindows
Membre éclairé https://www.developpez.com
Le 31/03/2022 à 22:22
Quelle lecture en faites-vous ?
Je pense que ce genre de cas prouve que les entreprise en question ne devrais JAMAIS avoir à transmettre des informations (même ci cela est de la faute du gouvernement US, pas de la faute des entreprises elle-même).
Partagez-vous l'opinion d'Allison Nixon qui rappelle que : « Dans chaque cas où ces entreprises se sont trompées, au cœur de cela, il y avait une personne essayant de faire la bonne chose. Je ne peux pas vous dire combien de fois les équipes de confiance et de sécurité ont tranquillement sauvé des vies parce que les employés avaient la flexibilité légale de réagir rapidement à une situation tragique qui se déroulait pour un utilisateur » ? Dans quelle mesure ?
Je ne partage absolument pas son opinion. Le rôle de ces entreprise n'est pas ne devrait pas être de sauver des vies, mais de remplir des services sans se préoccuper des histoires qui ne les regarde pas.

EDIT: surtout que les "demandes d'urgence" d’aujourd’hui risquent bien d'être les "demandes" anti terroriste anti pédophile anti conspirationniste anti dissidence politique de demain.
2  1