Il y a quelques jours, le New York Times a rapporté que l'ancien shérif du comté du Mississippi, Mo., a utilisé un service de Securus Technologies afin de pister des téléphones portables, y compris ceux des autres officiers, sans mandat. Securus offre le service de recherche d'emplacement comme une fonctionnalité supplémentaire pour les responsables des forces de l’ordre et des services correctionnels, dans le cadre d'un effort visant à attirer les clients dans une industrie lucrative mais concurrentielle.
La capacité de localisation de Securus repose sur un ensemble d’agrégateurs de localisation qui obtiennent des informations directement auprès des fournisseurs de services mobiles, généralement dans le but de fournir un service commercial.
La société texane Securus obtiendrait ses données de 3CInteractive, qui à son tour achète des données de LocationSmart. Le service de localisation de Securus tel qu'il est utilisé par les forces de l'ordre est également en cours d'examen. Un porte-parole de l’entreprise a déclaré que les clients devaient télécharger un document juridique, tel qu'un mandat ou un affidavit, et certifier que l'activité était autorisée.
Cette procédure simplifiée, qui n’implique aucune vérification des documents juridiques présentés à Securus, a poussé un hacker à l’action. Il s’est introduit dans les serveurs de Securus et a extirpé des données qu’il a remis à MotherBoard. Ces données comprenaient entre autres des noms d’utilisateur et des mots de passe mal sécurisés de milliers de clients de Securus.
MotherBoard a estimé que, bien qu'il ne soit pas clair combien de ces clients utilisent le service de géolocalisation par téléphone de Securus, ce genre d’actualité vient souligner l’incroyable laxisme d'une entreprise qui accorde un pouvoir exceptionnel aux forces de l’ordre pour surveiller les individus.
« Les agrégateurs d'emplacements sont, du point de vue des agences de renseignement étrangères, l'une des cibles de piratage les plus juteuses imaginables », a déclaré Thomas Rid, professeur d'études stratégiques à l'université Johns Hopkins.
Le hacker a également fourni plusieurs fichiers internes. Un tableur tiré d'une base de données portant la mention « Police » et qui comprend plus de 2 800 noms d'utilisateurs, adresses électroniques, numéros de téléphone, mots de passe hachés et questions de sécurité des utilisateurs de Securus, allant de 2011 à cette année.
À cause du type de hash utilisé (MD5), MB est persuadé que des pirates auraient pu deviné le mot de passe réel dans de nombreux cas. « En fait, certains de ces mots de passe ont même été “cracké” et étaient inclus dans le tableur. Il n'est pas immédiatement clair si le hacker qui a fourni les données à MotherBoard a craqué ces mots de passe allégués ou si Securus les a stockés de cette façon ».
Qui sont les clients de Securus ?
La plupart des utilisateurs sur la feuille de calcul proviennent d'organismes gouvernementaux américains, y compris les départements de shérifs, les comtés locaux et les forces de l'ordre de la ville. Les villes touchées comprennent Minneapolis, Phoenix, Indianapolis et bien d'autres. Les données incluent également les membres du personnel de Securus, ainsi que les utilisateurs ayant des adresses e-mail personnelles qui ne sont pas explicitement liées à un service gouvernemental particulier.
MB a entrepris de vérifier les données en utilisant la fonction « mot de passe oublié » du site Web de Securus. Lors de la saisie d'une adresse e-mail factice, le site a renvoyé une erreur. Mais lorsque le nom d'utilisateur et l'adresse e-mail issus du tableur étaient entrés, le site Web a proposé de passer à l'étape suivante du processus de réinitialisation du mot de passe, confirmant que ces informations sont stockées dans les systèmes de Securus. Chaque ensemble d'informations d'identification testé par Motherboard a été un succès.
Qui sont ceux qui se servent de l’outil de localisation ?
MB affirme que le nombre d’utilisateurs ayant fait appel au service de localisation de Securus n’est pas clair. Cependant, d'autres parties des données indiquent qu’ils sont nombreux à travailler dans l’univers carcéral. En effet, certains rôles des utilisateurs sont marqués comme « administrateur de prison », « directeur de prison » et « directeur adjoint ». Sur son site Web, Securus commercialise son produit « Location Based Services » dans les prisons afin que le personnel sache où les détenus appellent.
« Suivez les appareils mobiles même lorsque le GPS est éteint », peut-on lire sur le site Web de Securus, où l’entreprise promet d’être en mesure de fournir un certain nombre de données parmi lesquelles la géolocalisation de l’appel d’origine.
« Securus permettait le suivi sans mandat ; il permettait aux utilisateurs de son système de prétendre en avoir reçu l'autorisation, mais Securus ne se donnait pas la peine de vérifier. Et c’est un problème », a déclaré Andrew Crocker, avocat au sein de l’Electronic Frontier Foundation, le défenseur des droits numériques.
« Le problème qui peut être soulevé avec n'importe quel système est posé dès lors qu’il ne se limite pas aux personnes autorisés à exercer la surveillance ». Il a également estimé que le fait qu’un hacker puisse accéder à une liste d'utilisateurs Securus et à ses identifiants est particulièrement dangereux.
Une entreprise qui se soucie peu des données ?
Une enquête précédente publiée par le quotidien Intercept a évoqué un piratage de Securus en 2015 sur des données relatives à 70 millions d'appels téléphoniques de prisonniers, certains d’entre eux indiquaient des violations de privilèges avocat - client.
De plus, le hacker à l’origine de la fuite actuelle a indiqué qu’un manuel d’utilisation de la carte de Securus est disponible en ligne. Cependant, au lieu de remplir l'écran avec de fausses données à des fins de démonstration, le guide semble inclure le vrai nom, l'adresse et le numéro de téléphone de personnes spécifiques.
Source : MB, The Intercept
Et vous ?
Qu'en pensez-vous ?Voir aussi :
La police de Raleigh a demandé des données de localisation Google pour identifier les suspects, dans des affaires criminelles Désactiver le service de localisation de votre Android suffit-il pour ne pas être pisté par Google ? Non, d'après des investigations menées par Quartz Des cybercriminels utilisent l'application iCloud « Localiser mon appareil » pour verrouiller des Mac et exiger des rançons Vault 7 : WikiLeaks dévoile ELSA un malware de la CIA qui permet de géolocaliser des PC via des hotspot Wifi iOS 11 : Apple lance une option qui permet de désactiver la collecte intempestive des données de localisation par des applications en arrière-plan