Apple et Meta auraient livré des informations confidentielles suite à des requêtes urgentes bidonnées

Mickaël Bazoge |

Apple et Meta auraient fourni des informations confidentielles à des pirates s'étant fait fait passer pour des responsables des forces de l'ordre, rapporte Bloomberg. Adresse de l'utilisateur, numéro de téléphone et adresse IP, ce sont ces données que les deux entreprises ont livré mi-2021 en réponse à des requêtes urgentes bidonnées.

Crédit : Kevin Ku (Unsplash)

Ces informations obtenues indument ont été ensuite exploitées dans le cadre de campagne de harcèlement et pour faciliter des fraudes financières. Les plateformes sont tenues de fournir des informations d'ordre privé lorsqu'elles reçoivent un mandat signé par un juge, mais les requêtes urgentes peuvent s'en passer.

Entre juillet et décembre 2020, Apple a reçu 1 162 demandes de ce type dans 29 pays, et a fourni des données dans 93 % des cas. Il existe des garde-fous : Apple peut contacter un superviseur ou l'agent qui a soumis la requête à des fins de vérification. Le hic, c'est qu'il existe des dizaines de milliers d'agences dans le monde qui peuvent transmettre des requêtes urgentes, il n'y a pas de système centralisé qui permettrait de vérifier plus efficacement l'authenticité des documents (chez Apple, ils doivent être envoyés à une simple adresse mail).

Rapport sur la transparence : les requêtes des autorités auprès d

Rapport sur la transparence : les requêtes des autorités auprès d'Apple toujours en baisse

Les pirates ont été suffisamment convaincants pour ne pas éveiller les soupçons des vérificateurs d'Apple. Les requêtes provenaient d'adresses mail officielles des forces de l'ordre (les informations de connexion à ces comptes sont vendues au plus offrant sur le dark web), et les documents paraissaient authentiques.

Le groupe à l'origine de cette opération, la Recursion Team, n'existerait plus aujourd'hui. Mais certains de ses membres feraient partie de Lapsus$, qui fait beaucoup parler en ce moment.

Des données d

Des données d'Apple dans le dernier piratage de Lapsus$


avatar DP-Britto | 

Oups 🙊

avatar fousfous | 

Et y en a qui veulent une backdoor ouverte uniquement aux forces de l ordre...

avatar r e m y | 

Pas besoin de backdoor! Il suffit de demander gentiment... 😵‍💫

avatar Paquito06 | 

“Les requêtes provenaient d'adresses mail officielles des forces de l'ordre”

A partir de là, malgré le manque de details, ca commence a etre compliqué pour n’importe quel destinataire.

En tant que consultant ayant fait mes armes en banque, le monde de la tech, meme chez les GAFA, manque cruellement de garde-fous. Un simple “code of the day” par ex. ne necessite pas beaucoup de ressources a mettre en place et permet de bloquer les attaques externes facilement. Il est souvent absent.

avatar CorbeilleNews | 

@Paquito06

Pourtant tous ces services hallucinent quand je leur parle de sécurité toute relative

Banques en tête !!!

avatar Paquito06 | 

@CorbeilleNews

“Pourtant tous ces services hallucinent quand je leur parle de sécurité toute relative
Banques en tête !!!”

Y a bcp (trop) de process en banque (marché ou detail), pas tjrs adaptés aux bonnes equipes en plus. Faut que tout le monde soit hyper vigilent, tout le temps, et quand tu as des dizaines de milliers d’employés, y a rien d’etanche, tu trouveras tjrs une faille avec un peu de social engineering. Avec des courriels legitimes, ca passe encore plus creme, t’imagines.

avatar Artefact3000 | 

Comme quoi, il suffit de demander.

avatar Insomnia | 

Même si ça doit être très rare, ça prouve qu’une chose c’est que Apple n’est pas capable de protéger ces clients alors qu’ils vendent depuis des années l’être.

avatar tchek | 

L'être et le néant

avatar Krysten2001 | 

@Insomnia

Vu la situation. Personne ne l’aurait fait.

avatar Insomnia | 

@Krysten2001

C’est la problème, aider la police dans ces spécifiques me gêne pas mais que se soit aussi simple quand on croit haut et fort qu’on est respectueux des données de ces clients ça le fait moyen 😌

avatar r e m y | 

Quelle situation??? Une tentative de phishing, tout le monde ne s'y fait pas prendre désolé...
certes personne n'est 100% à l'abri, et les salariés sont souvent le maillon faible de la sécurité des systèmes, mais on peut mettre en place des procédures de double vérification avant de communiquer des données sensibles, même à la police.

avatar Krysten2001 | 

@r e m y

À quel moment voulez-vous qu’ils le sachent sachant que les groupes de hackers avaient les adresses mails officielles ?

avatar r e m y | 

Et alors ? Dans ce type de situation, on décroche son téléphone et on appelle celui qui semble nous demander des informations sensibles pour vérifier qu'il est bien à l'origine de la demande ! C'est le b-a ba !

avatar Krysten2001 | 

@r e m y

« Apple peut contacter un superviseur ou l'agent qui a soumis la requête à des fins de vérification. Le hic, c'est qu'il existe des dizaines de milliers d'agences dans le monde qui peuvent transmettre des requêtes urgentes, il n'y a pas de système centralisé qui permettrait de vérifier plus efficacement l'authenticité des documents (chez Apple, ils doivent être envoyés à une simple adresse mail). »

Mais oui bien sûr 🙄 C’est si simple, vous auriez dû être embauché.

avatar r e m y | 

Ce paragraphe ne change rien à ce que je dis (et que je mets en œuvre dans mon entreprise). La demande reçue (d'une boîte email officielle semble-t-il), ne vient pas simultanément de milliers d'agences, mais d'une seule, et même d'un demandeur parfaitement identifié. Avant de lui répondre et d'envoyer les informations sensibles demandées, on décroche son téléphone et on rappelle ce demandeur pour vérifier qu'il est bien à l'origine de la demande.

Vous noterez que ces hackers ont probablement essayé leur phishing auprès d'un grand nombre de cibles et a priori (sauf informations complémentaires qu'on aurait dans les prochains jours), seuls Apple et Meta se sont laissés piéger.
Alors ça peut être une erreur d'un seul salarié qui s'est laissé abusé et n'a pas respecté les procédures (c'est un risque impossible à éliminer), mais ne dites pas que tout le monde se serait laissé prendre.

avatar DG33 | 

@Insomnia

Ça pour vendre ils vendent ! Et s’en vantent 😉

avatar Hasgarn | 

Photo Kevin Ku.

Déjà, il s’appelle Ku mais si en plus, son prénom est Kevin…

avatar Oracle | 

@Hasgarn

« Déjà, il s’appelle Ku mais si en plus, son prénom est Kevin… »
😂

avatar Pierre H | 

C'est quand même étonnant que Meta ai fourni ces données. Ils sont très respectueux de la vie privée.

avatar r e m y | 

Ben pour le coup, ils l'ont été autant qu'Apple qui en la matière est quand même la référence!

Si vous voulez vous étonner de l'attitude de Meta, vous pourriez souligner qu'ils ont fourni ces données... gratuitement! 😎

avatar Krysten2001 | 

@r e m y

Sauf que vous oubliez un détail. Les hackers avaient les adresses mails officielles 😉

avatar debione | 

@ Krysten2001:

Et alors ? Dans toutes les données un chouia sensible, on utilise la double authentification, et ce même pour les particuliers.
Apple a fait une énorme boulette indigne complètement de l'image qu'elle cherche à se donner.
Et cela va pile poil dans le sens de l'affaire de Siri: Il y a ceux qui croient le marketing, et il y a la réalité d'Apple: Mettre toute sa vie dedans est une erreur sans nom, n'avoir que de l'Apple en écosystème est une connerie sans nom. Car Apple est tout sauf infaillible sur la sécurité, l'anonymisation des données. Contrairement a ce que croient certains aficionados. Apple peut descendre ces prix de 20%, car c'est les fameux 20% plus cher que tout le monde sous la fameuse fausse promesse de sécurité des données.

avatar Krysten2001 | 

@debione

Rien avoir. Apple donne ce qu’elle sait donner. Rien avoir avec Siri.

Ici on parle de personnes qui ont accès aux e-mails des gouvernements.

avatar debione | 

@Krysten2001:

Bien sur que si. Cela s'appelle la sécurité des données dont Apple se vante en long et en large d'être irréprochable. Ce qu'elle n'est pas. Siri est un excellent exemple, et ici on a un deuxième exemple, on pourrait même aller plus loin en citant Google search comme moteur par défaut.
Vos données sont en sécurité chez Apple à la condition express que cela ne coute rien à la boite. Si Google fait un gros chèque, pas de souci, on vous livre toute notre clientèle sur un plateau.

avatar IceWizard | 

@debione

« Apple peut descendre ces prix de 20%, car c'est les fameux 20% plus cher que tout le monde sous la fameuse fausse promesse de sécurité des données. »

Ah les gilets jaunes et l’économie ! Les 20% de marge nette c’est ce que gagne Apple sur chaque vente de device, comme indiqué dans les informations fournis par Cupertino chaque trimestre. Réduire de 20% c’est ne plus rien gagner.

Je présume que tu acceptes un travail non rémunéré, pour baisser le tarif des menus dans les restaurants où tu travailles ? Comme c’est noble de ta part !

avatar debione | 

@ IceWizard.
On ne parle pas des devices ici, mais bien des services qui marges à plus de 60% (les données collectées sont du service pas du hardware vendu)
Après réussir à mettre dans ta phrase le travail effectif d'un employé (travail non rémunéré comme tu le nommes si bien) et mettre sur le même pied les marges d'une entreprise... voilà quoi! Je vais te donner un petit cours: Une entreprise ne travaille pas, c'est des humains qui travaille, et une marge nette est ce que tu fait payer en plus les clients non pas pour rémunéré tes employés, mais pour dégager un surplus d'argent. Ta comparaison est tellement idiote.

avatar IceWizard | 

@debione

« On ne parle pas des devices ici, mais bien des services qui marges à plus de 60% (les données collectées sont du service pas du hardware vendu) »

Euh non .. on parle ici de données récupérées illégalement. Peut-être que dans ta tête tu pensais parler du niveau de marges des services numériques, mais fort étrangement tu as oublié de l’écrire. Et encore plus étrangement tu ressort ce chiffre de 20%, fondamental dans la pensée financière d’Apple en l’appliquant à un autre domaine, sans la moindre justification. Trop occupé par la contemplation de Rossinante en train de boulotter un brin d’herbes pour réfléchir ?

Quand à ta vision de l’entreprise ne tenant pas compte de l’achat et du stockage des matières premières, de l’entretien de l’équipement , de la R&D, du payement des charges locales, de la location des locaux, de l’électricité, du transport, des assurances, des frais financiers, des emprunts boursiers, de la formation du personnel et de 1000 autres choses, ce n’est pas digne d’un cours de maternelle !

avatar marc_os | 

@ Pierre H

> C'est quand même étonnant

Si un enquêteur judiciaire toque à ta porte avec badge, insigne et tout le toutim, tu lui dit "fuck off, rentre chez toi" ?

avatar debione | 

@marc_os:
Non absolument pas, par contre si ce même inspecteur m'envoie un simple mail, soit j'appelle le service en question pour m'assurer de la chose, soit le mail part directement à la poubelle.

avatar Mac1978 | 

Ce n’est pourtant pas compliqué de mettre en place une procédure de « call back » comme le font les banques pour les instructions reçues par mail ou par fax !

C’est tout bonnement incroyable ce qui s’est passé ! Et parfaitement inexcusable, Apple ou pas !

avatar debione | 

@ Mac1978:
Certains service pour les particuliers eux-même ne fonctionnent pas sans double authentification, et très loins des données hyper-sensible qu'Apple possède sur les gens crédules.

avatar marc_os | 

@ Mac1978

> Ce n’est pourtant pas compliqué de mettre en place une procédure de « call back »

Ah ces donneurs de leçon. Ykafokon...

« Le hic, c'est qu'il existe des dizaines de milliers d'agences dans le monde qui peuvent transmettre des requêtes urgentes, il n'y a pas de système centralisé qui permettrait de vérifier plus efficacement l'authenticité des documents »

avatar r e m y | 

Quand 1 agence t'envoie un e-mail demandant de lui communiquer d'urgence des données sensibles, tu n'as pas des dizaines de milliers d'agence à rappeler, mais une seule! Celle qui t'a envoyé la demande.
Le call back fait partie des procédures de base en matière de protection contre le phishing. (Ce qui n'exclut pas le fait que ces procédures puissent exister chez Apple mais que le salarié qui a reçu la demande se soit laissé berner et ait oublié d'appliquer la procédure. Ce risque reste présent et à part sensibiliser régulièrement les salarié, on ne peut rien y faire et personne n'est jamais 100% à l'abri)

avatar Krysten2001 | 

@r e m y

Et qu’en savez-vous ? Vous travaillez là-bas ?

avatar r e m y | 

Pas besoin de travailler chez Apple pour comprendre qu'une demande reçue par e-mail (en utilisant une adresse e-mail officielle des forces de l'ordre) arrive de CETTE adresse e-mail et pas de dizaines de milliers d'agences de tous les Pays du monde! Et que c'est à CETTE seule adresse que les informations confidentielles ont été renvoyées, et pas à des dizaines de milliers d'agences!
Les procédures standards que tout le monde en principe utilise quand on manipule des informations sensibles, c'est de contacter physiquement l'auteur apparent de la demande pour vérifier qu'il n'y a rien de louche. Il y a UNE personne à appeler, pas des dizaines de milliers. Et si cette personne n'est pas correctement identifiée dans l'e_mail de demande, on n'envoie rien ! Des infos sensibles, on ne les envoie pas sans savoir exactement QUI les a demandées, POURQUOI et à QUI on les a envoyées.

avatar debione | 

Dans les GAFAM, il n'y a que Meta et Apple qui se soient pareillement fourvoyé?
Je trouve rigolo si c'est le cas, car on a d'un côté Meta, qui ne se cache absolument pas d'utiliser les données en leurs possession, et de l'autre Apple qui fustige le modèle économique de Meta en disant que Apple c'est exactement l'inverse. Et pourtant les faits...

avatar r e m y | 

D'après Bloomberg qui rapporte l'affaire, il semble effectivement que seuls Apple et Meta soit concernés.
Par contre on ne sait pas si ils étaient les 2 seuls visés par ces tentatives d'extorsion frauduleuse ou si les autres sociétés visées ne se sont simplement pas laissées abuser par les escrocs.

avatar Paquito06 | 

@r e m y

“D'après Bloomberg qui rapporte l'affaire, il semble effectivement que seuls Apple et Meta soit concernés.
Par contre on ne sait pas si ils étaient les 2 seuls visés par ces tentatives d'extorsion frauduleuse ou si les autres sociétés visées ne se sont simplement pas laissées abuser par les escrocs. “

Oui, Bloomberg mentionne egalement Snap et Discord qui recoivent des requetes urgentes, mais n’a pas obtenu de reponses de leur part. Puis, les hackers sont pas des lapins de 3 semaines, ils ont des signatures officielles, emails, etc. Certains qui ont hacké samsung et microsoft il y a qq temps…

avatar e2x | 

He bien c’est rassurant tousa 😑

CONNEXION UTILISATEUR