Il y a un trou dans la raquette de certains géants de la tech. Le mois dernier, on apprenait qu'Apple et Meta auraient fourni des informations confidentielles à des pirates, qui se faisaient passer pour des responsables des forces de l'ordre. Le but était de se servir de ces données afin de les utiliser dans des campagnes de harcèlement ou pour faciliter des fraudes financières.
Aujourd'hui, Bloomberg rapporte qu'Apple et Meta ne seraient pas les seules à être tombées dans le panneau : Google, Alphabet, Snap, Twitter et Discord seraient également concernées. Selon des personnes proches du dossier, les données obtenues auraient été utilisées pour harceler des femmes et des mineurs, par exemple en les forçant à envoyer des photos à caractère privé. Cette technique serait en vogue depuis quelques mois, affirment les forces de l'ordre.
En effet, les policiers peuvent solliciter les grandes plateformes dans le cadre d'une affaire. Bien que celles-ci n'aient aucune obligation légale de répondre, elles le font dans une majorité des cas pour les affaires urgentes. Les données transmises varient selon les contextes, mais sont généralement l'IP, le mail, l'adresse physique et le nom de la personne. Des informations basiques, mais qui peuvent être utilisées de manière dévastatrice entre de mauvaises mains.
Pour les malfaiteurs, la technique consiste à se débrouiller pour extorquer une adresse mail officielle des forces de l'ordre. Une fois cela fait, les malandrins n'ont plus qu'à transmettre une demande d'information urgente aux plateformes. Cette pratique est habituellement utilisée dans les affaires concernant un danger imminent (meurtre, suicide, enlèvement…).
Apple et Meta auraient livré des informations confidentielles suite à des requêtes urgentes bidonnées
Le plan est bien rodé : les victimes n'ont aucun moyen de se défendre, et il est difficile pour les entreprises de savoir quand elles se sont fait piéger étant donné que les requêtes semblent légitimes. La plupart assurent avoir mis en place des garde-fous et vérifier consciencieusement chaque demande. Apple et Twitter ont refusé de répondre aux questions de Bloomberg.
Pour Alex Stamos, un ancien chef de la sécurité chez Facebook, la solution doit venir d'une plus grande vigilance des deux côtés : « Les services de police vont devoir se concentrer sur la prévention des compromissions de comptes avec une authentification multifactorielle et une meilleure analyse du comportement des utilisateurs ». Il estime que les plateformes devraient mettre en œuvre un système de rappel et pousser les policiers vers leurs portails dédiés.