De grandes entreprises technologiques ont été dupées pour fournir des informations personnelles sensibles sur leurs clients en réponse à des demandes légales frauduleuses, et les données ont été utilisées pour escroquer et même harceler sexuellement des mineurs, selon quatre responsables de l'application de la loi fédérale et deux enquêteurs du secteur, qui ont requis l’anonymat afin de pouvoir parler franchement de cette nouvelle forme de criminalité en ligne qui implique des victimes mineures. Parmi les entreprises qui ont accédé à ces fausses demandes figurent Meta, Apple, Google d'Alphabet, Snap, Twitter et Discord.Les données obtenues frauduleusement ont été utilisées pour cibler des femmes et des mineurs spécifiques et, dans certains cas, pour faire pression sur eux afin qu'ils créent et partagent du contenu sexuellement explicite et pour exercer des représailles contre eux s'ils refusent, selon les six personnes sources. Cette tactique est considérée par les forces de l'ordre et d'autres enquêteurs comme le plus récent outil criminel permettant d'obtenir des informations personnelles identifiables qui peuvent être utilisées non seulement à des fins de gain financier, mais aussi pour escroquer et harceler des victimes innocentes. Elle est d'autant plus troublante que les attaquants parviennent à se faire passer pour des agents de la force publique. Il est impossible pour les victimes de se protéger contre cette tactique, car le meilleur moyen de l'éviter serait de ne pas avoir de compte sur le service visé, selon les personnes mentionnées.
Des pirates se faisant passer pour des forces de l'ordre
On ne sait pas combien de fois les demandes de données frauduleuses ont été utilisées pour harceler sexuellement des mineurs. Les services de police et les entreprises technologiques tentent toujours d'évaluer l'ampleur du problème. Étant donné que les demandes semblent provenir de services de police légitimes, il est difficile pour les entreprises de savoir quand elles ont été amenées à communiquer des données d'utilisateurs.
Néanmoins, les responsables de l'application de la loi et les enquêteurs ont déclaré qu'il semble que la méthode soit devenue plus courante au cours des derniers mois. « Je sais que les demandes de données d'urgence sont utilisées tous les jours dans le cadre d'urgences réelles mettant en danger la vie des personnes, et il est tragique que ce mécanisme soit utilisé de manière abusive pour exploiter sexuellement des enfants », a déclaré Alex Stamos, ancien responsable de la sécurité chez Facebook, qui travaille désormais comme consultant.
« Les services de police vont devoir se concentrer sur la prévention des compromissions de comptes avec une authentification multifactorielle et une meilleure analyse du comportement des utilisateurs, et les entreprises technologiques devraient mettre en œuvre une politique de rappel de confirmation ainsi que pousser les forces de l'ordre à utiliser leurs portails dédiés où elles peuvent mieux détecter les prises de contrôle de comptes », a ajouté Stamos.
Un porte-parole de Google a déclaré : « En 2021, nous avons découvert une demande de données frauduleuse provenant d'acteurs malveillants se faisant passer pour des représentants légitimes du gouvernement. Nous avons rapidement identifié un individu qui semblait être responsable et avons informé les forces de l'ordre. Nous travaillons activement avec les forces de l'ordre et d'autres acteurs du secteur pour détecter et prévenir les demandes de données illégitimes ».
Les employés de Facebook examinent chaque demande de données pour « vérifier la suffisance juridique et utilisent des systèmes et des processus avancés pour valider les demandes des forces de l'ordre et détecter les abus », a déclaré un porte-parole. De même, Rachel Racusen, une porte-parole de Snap, a déclaré que « l'entreprise examine attentivement chaque demande qu'elle reçoit des forces de l'ordre pour s'assurer de sa validité et a mis en place de multiples garanties pour détecter les demandes frauduleuses ». Un porte-parole de Discord a déclaré qu'ils valident toutes les demandes d'urgence.
Comment les pirates informatiques s'y prennent-ils ?
Les demandes d'urgence n'incluent généralement pas d'ordonnance signée par un juge, de sorte que les entreprises n'ont généralement aucune obligation légale de fournir des données. Mais il est généralement admis que les entreprises communiquent des données limitées en réponse à des demandes "de bonne foi" des forces de l'ordre impliquant un danger imminent. Le mois dernier, nous avons rapporté qu'Apple et Meta, la société mère de Facebook, ont fourni des données sur leurs clients à des pirates informatiques qui se sont fait passer pour des agents des forces de l'ordre. Les fausses demandes semblaient être principalement utilisées pour des fraudes financières.
La méthode exacte des attaques varie, mais elles tendent à suivre un schéma général, selon les agents des services répressifs. L'auteur de l'attaque commence par compromettre le système de messagerie électronique d'un service de police étranger. Ensuite, l'attaquant fait une "demande de données d'urgence" à une entreprise technologique pour obtenir des informations sur le compte d'un utilisateur, ont indiqué les agents. Ces demandes sont utilisées par les forces de l'ordre pour obtenir des informations sur des comptes en ligne dans des cas de danger imminent comme un suicide, un meurtre ou un enlèvement.
En échange, les entreprises fournissent à l'attaquant des informations de base sur l'abonné - les mêmes données que celles fournies aux forces de l'ordre en réponse à une citation à comparaître ordonnée par un tribunal, ont indiqué des responsables des forces de l'ordre et des personnes au fait des procédures judiciaires. Les données fournies varient selon les entreprises, mais comprennent généralement le nom, l'adresse IP, l'adresse électronique et l'adresse physique. Certaines entreprises fournissent davantage de données.
Bien qu'apparemment inoffensives, ces données personnelles, entre de mauvaises mains, peuvent être utilisées comme des armes. Les attaquants ont utilisé ces informations pour pirater les comptes en ligne des victimes ou pour se lier d'amitié avec des femmes et des mineurs avant de les encourager à fournir des photos sexuellement explicites. D’après les sources, la plupart des agresseurs seraient eux-mêmes des adolescents basés aux États-Unis et à l'étranger.
Si les victimes n'accèdent pas à leurs demandes, les agresseurs utilisent plusieurs techniques de harcèlement pour riposter
L'une des techniques déployées est le "swatting", qui consiste pour les agresseurs à envoyer une fausse menace à un répartiteur local du 911 afin d'obtenir une intervention des forces de l'ordre à l'adresse de leur cible. Dans de nombreux cas, des femmes mineures ont été victimes de swatting à leur domicile et à leur école, ont indiqué les responsables fédéraux de l'application des lois.
Une autre approche, appelée doxxing, consiste à publier en ligne des informations personnelles détaillées, notamment les numéros de téléphone et les adresses physiques des victimes et des membres de leur famille. Ces informations, qui sont parfois obtenues en partie par des demandes juridiques frauduleuses, sont généralement publiées sur des sites consacrés au doxxing, qui servent essentiellement d'invitation ouverte aux autres personnes du site à harceler la victime.
En outre, les auteurs ont menacé d'envoyer du contenu sexuellement explicite fourni par la victime à ses amis, aux membres de sa famille et à l'administration de son école si elle n'accédait pas à leurs demandes, selon les personnes concernées. Dans quelques cas, les victimes ont été poussées à graver le nom de l'agresseur sur leur peau et à en partager des photos, selon les représentants des forces de l'ordre.
Le problème des demandes légales falsifiées incite les entreprises à réfléchir à de nouveaux moyens de vérifier les demandes légales légitimes, selon une douzaine de personnes au fait de la question. « Les demandes frauduleuses de données d'urgence abusent de la base de 'bonne foi' du préjudice imminent, mais les fraudeurs sont également connus pour usurper des procédures légales légitimes telles que les assignations à comparaître et les mandats de perquisition en contrefaisant la signature d'un juge », a déclaré Matt Donahue, fondateur de Kodex, qui crée des logiciels permettant aux entreprises de gérer les demandes légales.
Allison Nixon, responsable de la recherche à la société de cybersécurité Unit 221b, a déclaré que la menace des auteurs mineurs devrait être une priorité pour l'industrie de la sécurité informatique et les forces de l'ordre. « Nous assistons maintenant à leur transition vers le crime organisé, avec toute la violence du monde réel et les abus sexuels qui l'accompagnent », a déclaré Allison Nixon, ajoutant que les pirates informatiques mineurs causent de graves dommages et que « nous devons commencer à les traiter comme des adultes ».
Source : Bloomberg
Et vous ?
Qu’en pensez-vous ? À votre avis, les entreprises technologiques devraient-elles effectuer davantage de vérifications avant de communiquer des informations personnelles des utilisateurs ? Voir aussi :
Apple et Meta ont partagé des données avec des hackers se faisant passer pour des agents des forces de l'ordre, qui émettent des « demandes de données d'urgence » Un jeune de 16 ans d'Oxford accusé d'être le cerveau derrière le groupe de cybercriminels Lapsus$ qui a piraté Microsoft, Nvidia, Samsung, LG Electronics et d'autres entreprises en quelques mois