Des malfaiteurs se font passer pour des policiers afin d'extorquer des données aux géants du numérique

Félix Cattafesta |

Il y a un trou dans la raquette de certains géants de la tech. Le mois dernier, on apprenait qu'Apple et Meta auraient fourni des informations confidentielles à des pirates, qui se faisaient passer pour des responsables des forces de l'ordre. Le but était de se servir de ces données afin de les utiliser dans des campagnes de harcèlement ou pour faciliter des fraudes financières.

Image : Pixabay.

Aujourd'hui, Bloomberg rapporte qu'Apple et Meta ne seraient pas les seules à être tombées dans le panneau : Google, Alphabet, Snap, Twitter et Discord seraient également concernées. Selon des personnes proches du dossier, les données obtenues auraient été utilisées pour harceler des femmes et des mineurs, par exemple en les forçant à envoyer des photos à caractère privé. Cette technique serait en vogue depuis quelques mois, affirment les forces de l'ordre.

En effet, les policiers peuvent solliciter les grandes plateformes dans le cadre d'une affaire. Bien que celles-ci n'aient aucune obligation légale de répondre, elles le font dans une majorité des cas pour les affaires urgentes. Les données transmises varient selon les contextes, mais sont généralement l'IP, le mail, l'adresse physique et le nom de la personne. Des informations basiques, mais qui peuvent être utilisées de manière dévastatrice entre de mauvaises mains.

Pour les malfaiteurs, la technique consiste à se débrouiller pour extorquer une adresse mail officielle des forces de l'ordre. Une fois cela fait, les malandrins n'ont plus qu'à transmettre une demande d'information urgente aux plateformes. Cette pratique est habituellement utilisée dans les affaires concernant un danger imminent (meurtre, suicide, enlèvement…).

Apple et Meta auraient livré des informations confidentielles suite à des requêtes urgentes bidonnées

Apple et Meta auraient livré des informations confidentielles suite à des requêtes urgentes bidonnées

Le plan est bien rodé : les victimes n'ont aucun moyen de se défendre, et il est difficile pour les entreprises de savoir quand elles se sont fait piéger étant donné que les requêtes semblent légitimes. La plupart assurent avoir mis en place des garde-fous et vérifier consciencieusement chaque demande. Apple et Twitter ont refusé de répondre aux questions de Bloomberg.

Pour Alex Stamos, un ancien chef de la sécurité chez Facebook, la solution doit venir d'une plus grande vigilance des deux côtés : « Les services de police vont devoir se concentrer sur la prévention des compromissions de comptes avec une authentification multifactorielle et une meilleure analyse du comportement des utilisateurs ». Il estime que les plateformes devraient mettre en œuvre un système de rappel et pousser les policiers vers leurs portails dédiés.

avatar Bigdidou | 

C’est une technique ancienne, ceci dit.
J’ai déjà eu à faire avec des adresses compromises (ou seulement faussement « habillées », je sais pas comment on dit) d’avocats ou de l’assurance maladie pour des demandes de transmission de données santé sensibles….
Un mail hors système de messagerie sécurisée ne suffit plus depuis longtemps pour être assuré d’un bon destinataire pour des choses sensibles : il me semblait que c’est un peu la base, non ?

avatar vince29 | 

> Pour les malfaiteurs, la technique consiste à se débrouiller pour extorquer une adresse mail officielle des forces de l'ordre.

Avant de taper sur les GAFAM, c'est pas là en premier lieu qu'est le souci ?

avatar debione | 

@vince29:

Euh, non. Quand on transmet des données qui peuvent être très sensible, on se doit de prendre des précautions. Le monsieur (qui fait partie des GAFAM) le dit très bien: "Il estime que les plateformes devraient mettre en œuvre un système de rappel ..."

avatar vince29 | 

> Il estime que les plateformes devraient mettre en œuvre un système de rappel

C'est encore de la bidouille. Rappeler qui ? Avec quelle sécurité ?
Tout site web hébergé en France et toute société devrait implémenter un canal unique de communication avec la sphère étatique.
Charge à l'état de faire transiter les demandes des préfectures, sdis, gendarmeries dans ce tuyau, d'en assurer la sécurité et d'assumer les conséquences d'un dysfonctionnement.
Toute demande faite par un autre moyen (téléphone, mail, signaux de fumée) devrait être considérée comme nulle et non avenue et renvoyée vers le canal officiel. L'entreprise ne devrait pas être tenue responsable d'un manque de diligence ou d'une absence de résultat suite à une demande formulée par un autre moyen.

avatar Paquito06 | 

@debione

“Euh, non. Quand on transmet des données qui peuvent être très sensible, on se doit de prendre des précautions. Le monsieur (qui fait partie des GAFAM) le dit très bien: "Il estime que les plateformes devraient mettre en œuvre un système de rappel ..."”

En banque les donnees sont sensibles egalement, pourtant on a bien des partenariats avec l’exterieur, les anaystes en cyber securite des equipes EIS (Entreprise Infrastructure Security) se chargent de cela. A chaque fois que j’envoie un email, je peux pas m’amuser a verifier 40x que le destinataire est bien seul derriere son ecran et que tout est securisé, surtout quand t’as de nombreuses requetes, qu’il faut repondre dans la minute, etc. Soit tous les analystes en cybersecurite des gafa sont bidon, soit les hackers sont forts. A partir du moment où tu prends le controle d’une adresse officielle, c’est pas l’expediteur qui doit faire le plus attention, y a deja un ver dans la pomme. Oui, on peut ajouter des controles, mais qui te dit que l’usurpateur n’a pas acces a ces controles? Tu peux mettre en place un rappel, si le hacker passe egalement cette etape tu fais quoi? A un moment donné, faut bien appuyer sur “envoyer”.

avatar debione | 

@Paquito06:
La différence entre la "simplicité" de pirater un mail et la complexité de détourner un numéro de téléphone?
Mon mail, tu peux me le hacker, n'importe qui avec un peu de chance (ou de force brute, ou de social enginering) peut le faire... Je te souhaite bonne chance pour faire cela avec le mail ET mon numéro de téléphone.

Et oui, à un moment il faut appuyer sur "envoyer", mais appuyer sur "envoyer" sur la seule preuve d'un mail est quand même un foutage de gueule quand on parle de données ultra-sensible.... On parle pas d'un changement d'horaire de l'école pour nos mioches là. Et oui cela coutera bien plus, on amassera bien moins de $.... La sécurité à un coût, c'est évident, mais bon à un moment donné il faut aussi faire des choix... Si Apple et consort n'entasseraient pas nos données comme des porcs pour en faire un maximum de $ sur notre dos, ben ils n'auraient pas de données sensibles à partager.
La c'est un peu vouloir le beurre, l'argent du beurre et le cul de la laitière.... Mets une amende de 100 millions par fois ou les GAFAM (et autres hein) se font avoir de la sorte, et ho miracle, je prédis que cela n'arrivera quasi plus jamais.

avatar vince29 | 

D'ou vient le numéro de téléphone ?
S'il est pris dans le mail autant dire qu'il ne correspond pas à ce qu'il prétend être.
Comment tu vérifies que le numéro est bon ou pas ?
Tu te contentes de téléphoner ?
Tu vérifies d'abord dans un annuaire inversé et/ou sur internet à qui correspond le numéro ? Comment tu sais que les données sont fiables et qu'il n'y a pas de google bombing ?

La "vérification" n'a rien d'évident.
Si tu peux trouver le numéro de tel sur un site "gouv.fr" tu peux être à-peu-près sûr. Sauf que les numéros internes n'y sont sans doute pas exposés (tu peux toujours téléphoner au secrétariat et essayer de faire confirmer le numéro interne)

avatar Paquito06 | 

@debione

“La différence entre la "simplicité" de pirater un mail et la complexité de détourner un numéro de téléphone?
Mon mail, tu peux me le hacker, n'importe qui avec un peu de chance (ou de force brute, ou de social enginering) peut le faire... Je te souhaite bonne chance pour faire cela avec le mail ET mon numéro de téléphone. “

Mais pour une entreprise? Faut quand meme acceder au reseau interne? Tu peux pas faire ca de l’exterieur. C’est pas une adresse externe où il suffit de deviner le mdp, peu importe s’il y a une double authentication. Les mdp sont en plus changés tous les 30 voire 90 jours selon les boites où les donnees sont sensibles, donc faut pas trainer.

avatar Paquito06 | 

@debione

“La c'est un peu vouloir le beurre, l'argent du beurre et le cul de la laitière.... Mets une amende de 100 millions par fois ou les GAFAM (et autres hein) se font avoir de la sorte, et ho miracle, je prédis que cela n'arrivera quasi plus jamais.”

Ils arreteront simplement de cooperer en temps et en heure s’ils sont tenus responsables, ca s’arrete la.

avatar Bigdidou | 

@vince29

« Avant de taper sur les GAFAM, c'est pas là en premier lieu qu'est le souci ? »

Non, parce que l’usurpation de mail est un un problème systémique qui existera toujours et un risque qui devrait être identifié avec la mise en place des procédures nécessaires pour en tenir compte.
C’est de la qualité de base.

avatar Paquito06 | 

@vince29

“> Pour les malfaiteurs, la technique consiste à se débrouiller pour extorquer une adresse mail officielle des forces de l'ordre.
Avant de taper sur les GAFAM, c'est pas là en premier lieu qu'est le souci ?”

J’aimerais aussi connaitre les details. Car choper un courriel valide appartenant a la police federale… Acceder au serveur de messagerie en externe c’est deja une belle intrusion, tout configurer, utiliser l’adresse email, du coup personne d’autre ne monitore? Ca me parait hardcore pour qu’on puisse facilement taper sur les GAFA. Et tous ont ete dupés.

avatar debione | 

@Paquito06:
Simplement parce que tous font le strict minimum, parce que comme cela ça rapporte infiniment plus... Il suffit de regarder le nombres de bugs que ces entreprises laissent en place juste .... parce que cela demanderaient de taper dans les marges...
Un peu le problème de l'argent roi, tant que cela rapporte plus que cela ne coute on y va, un peu comme les amendes que Apple et Google préfèrent payer plutôt que de se plier aux législations.

avatar Paquito06 | 

@debione

“Simplement parce que tous font le strict minimum, parce que comme cela ça rapporte infiniment plus... Il suffit de regarder le nombres de bugs que ces entreprises laissent en place juste .... parce que cela demanderaient de taper dans les marges...”

Ca c’est sûr, colmater des bugs, sauf si ca pose un gros probleme de prod pour bcp d’utilisateurs, c’est pas le but. Y a aucune reconnaissance deja en interne, puis tu vas pas acquerir de nouveaux utilisateurs, vendre davantage en fixant des bugs. C’est le dernier des soucis, sauf si c’est critique encore une fois…

“Un peu le problème de l'argent roi, tant que cela rapporte plus que cela ne coute on y va, un peu comme les amendes que Apple et Google préfèrent payer plutôt que de se plier aux législations.”

Oui… faut taper là où ca fait mal 💰

avatar frankm | 

Capable de dire merde à la justice. Mais un simple déguisement de policier et ils se déshabillent sans sourciller

avatar thierry37 | 

Incroyable que les demandes se fassent par e-mail.
Et pas dans un système de tickets, avec accès sécurisé...

avatar Paquito06 | 

@thierry37

“Incroyable que les demandes se fassent par e-mail.

Et pas dans un système de tickets, avec accès sécurisé...”

Et encore, si tu as acces au systeme de ticket, meme avec un acces securisé, le probleme reste le meme. Il y a eu usurpation a la source.

avatar DahuLArthropode | 

On pourrait aussi imaginer que les réponses ne se fassent pas au demandeur, mais via une adresse centrale unique pour toutes des demandes de justice.
- Ça éliminerait une partie des fraudes (il faudrait s’identifier pour accéder à la réponse)
- Ça laisserait une trace des adresses volées ou corrompues pour analyses et corrections ultérieures en cas de succès.

CONNEXION UTILISATEUR