Google a notifié au moins des dizaines de personnes ciblées par une enquête secrète du FBI,
Qui auraient toutes acheté un logiciel malveillant

Le , par Stan Adkens, Chroniqueur Actualités
Un développeur du nom de Colton Ray Grubbs, arrêté en juillet 2017 pour avoir commercialisé LuminosityLink, un outil d'accès à distance dont il est l’un des créateurs et pour avoir aidé les utilisateurs à pirater et contrôler les ordinateurs à distance. Après avoir nié les faits, le développeur est passé aux aveux au cours du mois de juillet dernier.

Les procureurs fédéraux reprochait à Colton Ray Grubbs d’avoir conspiré avec d'autres pour commercialiser et distribuer LuminosityLink remote accès tool (RAT) qui a aidé ses clients à pirater des ordinateurs pour voir furtivement des documents, des photos et d' autres fichiers sur les PC des victimes. La RAT permet également aux utilisateurs de voir quelles victimes tapent sur leurs claviers à un moment donné, de désactiver le logiciel de sécurité et d’activer secrètement la webcam sur l’ordinateur de la cible.

Le développeur, qui risque jusqu'à 25 ans de prison et une amende de 750 000 dollars, commercialisait ses logiciels à 40 dollars. Il a pu vendre son logiciel de piratage à plus de 8 600 clients qui pourrait être impliqués dans cette procédure judiciaire.

En effet, des dizaines de personnes ont été contactées par Google à travers un email qui leur notifiait que le géant du Web avait répondu à une demande de publication de données utilisateurs voulue par le FBI, selon les personnes qui auraient reçu la notification, sans que l’émail ne précise si Google a transmis les données demandées au FBI. Les courriers ont été reçus et publiés par certains utilisateurs des forums et réseaux sociaux tels que Twitter. Selon Motherboard, ces notifications seraient liées à l’affaire Colton Grubbs rappelée plus haut.

Une copie de l'email publiée par un utilisateur de Twitter.


L'email reçu indique que « Google a reçu et a répondu à la question de procédure légale initiée par le Bureau Fédéral de l’Investigation (District de l'est du Kentucky), obligeant à publier des informations relatives à votre compte Google », selon les publications des personnes qui auraient reçu la notification.

Motherboard suppose que l'email a un lien avec l’affaire du RAT du développeur Colton malgré l’insuffisance de détails fournis par l’avis, car un numéro de processus légal qui serait contenu dans l'email a montré que les demandes de données utilisateurs ferait partie d'une affaire encore sous scellés, aussi les personnes ayant reçu l’email auraient acheté le logiciel LuminosityLink de Colton. De surcroît, le District du FBI qui aurait fait la demande de données utilisateurs serait le même qui a enquêté sur le développeur du RAT LuminosityLink.

En effet, Google n’est pas à sa première fois de divulguer des demandes d'application de la loi lorsque cela est permis, selon les avocats spécialisés dans la cybercriminalité.

« Il me semble que le tribunal a initialement ordonné à Google de ne pas révéler l'existence de la demande d'informations, de sorte qu'il était interdit à Google de notifier l'utilisateur. Ensuite, l'ordre de non-divulgation a été levé, de sorte que Google en a informé l'utilisateur. Il n'y a rien d'inhabituel en soi », selon Marcia Hoffman, une avocate spécialisée dans la cybercriminalité. « Il est courant que les forces de l'ordre cherchent à obtenir des informations lors d'une enquête en cours et ne souhaitent pas dévoiler la ou les cibles. », a-t-elle ajouté.

Selon Motherboard, c’est le fait que le FBI chercheraient les données sur les personnes ayant acquis le logiciel qui serait considéré comme contraire à la loi.

Luca Bongiorni, un chercheur en sécurité et l’une des personnes ayant été notifiées par Google, a acheté le logiciel LuminosityLink mais il l’utiliserait dans le cadre de son travail et uniquement avec son propre ordinateur et ses machines virtuelles.

« Si vous achetez un outil qui permet ce type de capacité d’accéder à distance à un ordinateur, vous êtes peut-être un bon ou un méchant », a déclaré Gabriel Ramsey, avocat spécialisé dans les lois sur l’Internet et la cybersécurité. « Je peux imaginer un scénario où ce type de demande atteint, pour le meilleur ou pour le pire, des comptes des deux types d'acheteurs. »

Source : Motherboard

Et vous ?

Que pensez-vous de la démarche de Google de notifier des personnes qui font l’objet de demande de données utilisateurs ?
Que pensez-vous de la livraison des données des utilisateurs aux autorités par les entreprises de l’Internet ?

Voir aussi

USA : un développeur à la porte de la prison, pour avoir aidé au déploiement furtif de son outil d'administration à distance sur des PC
OmniRAT, le spyware qui donne le contrôle de vos dispositifs tournant sur Android, Windows, OS X et Linux a été identifié par Avast
Le RAT Coldroot, qui cible macOS, est resté indétectable par les solutions AV, alors que son code a été publié sur GitHub depuis deux ans déjà
Des informations permettant de pirater les équipements d'un aéroport seraient en vente, pour 10 dollars US sur le dark web
Une firme de sécurité poursuivie pour ne pas avoir pu détecter un malware, qui a permis de pirater les données de plus de 650 clients d'une entreprise


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Le gris Le gris - Membre actif https://www.developpez.com
le 05/09/2018 à 21:24
Petit à petit on y arrivera certainement!
Avatar de joublie joublie - Membre confirmé https://www.developpez.com
le 06/09/2018 à 5:53
" Google a notifié au moins des dizaines de personnes " : en français il est notifié quelque chose à quelqu'un, " notifier quelqu'un " est incorrect.
Avatar de nuke_y nuke_y - Membre émérite https://www.developpez.com
le 06/09/2018 à 10:11
A noter que l'article dit bien que ce n'est pas pour son rôle de développeur qu'il est inquiété, mais pour sa participation à des activités répréhensibles.
Avatar de clementmarcotte clementmarcotte - Expert éminent https://www.developpez.com
le 07/09/2018 à 0:57
En droit criminel Nord-Américain, on peut faire des aveux sans être officiellement coupable. Pour être coupable, il faut être déclaré coupable dans un procès juste et équitable ou plaider coupable. L'aveu n'est aucunement une preuve de culpabilité, sauf s'il a été fair dans des conditions précises. On peut faire des aveux à un policier et plaider devant le juge que les aveux ne sont pas admissibles en preuve parce qu'ils n'ont pas été obtenus dans les formes. Dire que monsieur est passé aux aveux ne veut absolument rien dire. L'aveu n'est synonyme de culpabilité que dans des circonstances précises. Et absolument rien dans l'article ne dit dans quelle circonstance les aveux ont été faits. C'est le plaidoyer ou le jugement qui fait foi de tout. Même quand l'accusé accepte de plaider coupable à une accusation réduite pour éviter un procès.

 
Contacter le responsable de la rubrique Accueil