Apple et Meta ont fourni des données utilisateur aux pirates qui ont utilisé de fausses demandes légales

(Bloomberg) — Apple Inc. et Meta Platforms Inc., la société mère de Facebook, ont fourni des données clients à des pirates se faisant passer pour des responsables de l’application des lois, selon trois personnes connaissant le sujet.

Le plus lu de Bloomberg

Apple et Meta ont fourni des informations de base sur les abonnés, telles que l’adresse, le numéro de téléphone et l’adresse IP du client, à la mi-2021 en réponse à des “demandes de données d’urgence” falsifiées. En règle générale, de telles demandes ne sont signifiées qu’avec un mandat de perquisition ou une citation à comparaître signé par un juge, selon les gens. Cependant, les demandes d’urgence ne nécessitent pas d’ordonnance du tribunal.

Snap Inc. a reçu une fausse demande légale des mêmes pirates, mais on ne sait pas si la société a fourni des données en réponse. On ne sait pas non plus combien de fois les entreprises ont fourni des données demandées par des demandes légales falsifiées.

Les chercheurs en cybersécurité soupçonnent que certains des pirates informatiques soumettant les applications falsifiées sont des mineurs situés au Royaume-Uni et aux États-Unis Nvidia Corp., entre autres, ont déclaré les gens. La police de la ville de Londres a récemment arrêté sept personnes dans le cadre d’une enquête sur le groupe de hackers Lapsus$ ; la sonde est en cours.

Un représentant d’Apple a renvoyé Bloomberg News à une section de ses directives d’application.

Les directives référencées par Apple indiquent qu’un superviseur gouvernemental ou un agent des forces de l’ordre qui a soumis la demande “peut être contacté et invité à confirmer à Apple que la demande d’urgence était légitime”, indiquent les directives d’Apple.

“Nous examinons toutes les demandes de données pour en vérifier la suffisance légale et utilisons des systèmes et des processus avancés pour valider les demandes des forces de l’ordre et détecter les abus”, a déclaré le porte-parole de Meta, Andy Stone, dans un communiqué. “Nous empêchons les comptes compromis connus de faire des demandes et travaillons avec les forces de l’ordre pour répondre aux incidents impliquant des demandes présumées frauduleuses, comme nous l’avons fait dans ce cas.”

Snap n’a fait aucun commentaire immédiat sur l’affaire, mais un porte-parole a déclaré que la société avait mis en place des mesures de sécurité pour détecter les demandes frauduleuses des forces de l’ordre.

Les plateformes de médias sociaux sont régulièrement sollicitées par les forces de l’ordre du monde entier pour obtenir des informations sur les utilisateurs dans le cadre d’enquêtes criminelles. Aux États-Unis, ces demandes comprennent généralement un mandat signé par un juge. Les demandes d’urgence sont destinées à être utilisées en cas de danger imminent et ne nécessitent pas l’approbation d’un juge.

Des pirates informatiques affiliés à un groupe de cybercriminalité connu sous le nom de “Recursion Team” seraient à l’origine de certaines des fausses demandes légales, qui ont été envoyées aux entreprises tout au long de 2021, selon les trois personnes impliquées dans l’enquête.

L’équipe de récursivité n’est plus active, mais nombre de ses membres continuent d’effectuer des hacks sous différents noms, y compris dans le cadre de Lapsus $, ont déclaré les gens.

Les informations obtenues par les pirates via les fausses applications légales ont été utilisées pour permettre des campagnes de harcèlement, selon l’une des personnes proches de l’enquête. Les trois personnes ont déclaré qu’il pouvait être utilisé principalement pour faciliter les stratagèmes de fraude financière. Connaissant les informations de la victime, les pirates pourraient les utiliser pour tenter de contourner la sécurité du compte.

Bloomberg retient certains détails spécifiques des événements pour protéger l’identité des cibles.

Les demandes légales frauduleuses font partie d’une campagne de plusieurs mois ciblant de nombreuses entreprises technologiques qui a débuté en janvier 2021, selon deux des personnes. Les demandes légales usurpées seraient envoyées via des domaines de messagerie piratés appartenant à des organismes chargés de l’application de la loi dans divers pays, selon les trois personnes et une autre personne enquêtant sur l’affaire.

Les demandes falsifiées ont été faites pour paraître légitimes. Dans certains cas, les documents comprenaient de fausses signatures d’agents de la force publique réels ou fictifs, selon deux des personnes. En compromettant les systèmes de messagerie des forces de l’ordre, les pirates ont peut-être trouvé des demandes légales légitimes et les ont utilisées comme modèle pour créer des contrefaçons, selon l’une des personnes.

“Dans tous les cas où ces entreprises se sont trompées, il y avait quelqu’un en bas qui essayait de faire ce qu’il fallait”, a déclaré Allison Nixon, directrice de la recherche à la cyberentreprise Unit 221B. “Je ne peux pas vous dire combien de fois les équipes de confiance et de sécurité ont tranquillement sauvé des vies parce que les employés avaient la flexibilité légale de réagir rapidement à une situation tragique qui se déroulait pour un utilisateur.”

Mardi, Krebs on Security a rapporté que des pirates avaient falsifié une demande de données d’urgence pour obtenir des informations de la plateforme de médias sociaux Discord. Dans une déclaration à Bloomberg, Discord a confirmé qu’il s’était également conformé à une fausse demande légale.

“Nous vérifions ces demandes en vérifiant qu’elles proviennent d’une source authentique, et nous l’avons fait dans ce cas”, a déclaré Discord dans un communiqué. “Alors que notre processus de vérification a confirmé que le compte des forces de l’ordre était légitime, nous avons appris plus tard qu’il avait été compromis par un acteur malveillant. Nous avons depuis mené une enquête sur cette activité illégale et informé les forces de l’ordre du compte de messagerie compromis.”

Apple et Meta publient des données sur leur conformité aux demandes de données d’urgence. De juillet à décembre 2020, Apple a reçu 1 162 demandes d’urgence de 29 pays. Selon leur rapport, Apple a fourni des données en réponse à 93 % de ces demandes.

Meta a déclaré avoir reçu 21 700 demandes d’urgence de janvier à juin 2021 dans le monde et fourni des données en réponse à 77 % des demandes.

“En cas d’urgence, les forces de l’ordre peuvent faire des demandes sans procédure régulière”, déclare Meta sur son site Web. “Selon les circonstances, nous pouvons divulguer volontairement des informations aux forces de l’ordre lorsque nous avons une raison de bonne foi de croire que l’affaire implique un risque imminent de blessure physique grave ou de mort.”

Les systèmes de demande de données d’entreprise sont une mosaïque d’adresses e-mail et de portails d’entreprise différents. Se conformer aux demandes légales peut être compliqué car il existe des dizaines de milliers d’organismes d’application de la loi différents, des petits services de police aux agences fédérales, partout dans le monde. Différentes juridictions ont des lois différentes concernant la demande et la divulgation des données des utilisateurs.

“Il n’y a pas de système ou de système centralisé pour envoyer ces choses”, a déclaré Jared Der-Yeghiayan, directeur de la société de cybersécurité Recorded Future Inc. et ancien chef de programme cyber au Département de la sécurité intérieure. “Chaque agence les gère différemment.”

Des entreprises comme Meta et Snap exploitent leurs propres portails permettant aux forces de l’ordre de soumettre des demandes légales, mais elles acceptent toujours les demandes par courrier électronique et surveillent les demandes 24 heures sur 24, a déclaré Der-Yeghiayan.

Apple accepte les demandes légales de données utilisateur à une adresse e-mail apple.com, “à condition qu’elles soient transmises à partir de l’adresse e-mail officielle de l’agence demandeuse”, conformément aux directives légales d’Apple.

Dans certains cas, compromettre les domaines de messagerie des forces de l’ordre du monde entier est relativement simple, car les informations de connexion de ces comptes sont disponibles à la vente sur les marchés criminels en ligne.

“Les boutiques en ligne sombres souterraines contiennent des comptes de messagerie compromis des forces de l’ordre, qui pourraient être vendus avec les cookies et les métadonnées attachés entre 10 et 50 dollars”, a déclaré Gene Yoo, PDG de la société de sécurité Cyber ​​​​Resecurity, Inc.

Yoo a déclaré que plusieurs organismes chargés de l’application de la loi avaient été ciblés l’année dernière en raison de vulnérabilités jusque-là inconnues dans les serveurs de messagerie Microsoft Exchange, “entraînant davantage d’intrusions”.

Il sera difficile de trouver une solution potentielle à l’utilisation de fausses demandes légales envoyées par des systèmes de messagerie piratés des forces de l’ordre, a déclaré Nixon, de l’unité 221B.

“La situation est très complexe”, a-t-il déclaré. « Le réparer n’est pas aussi simple que d’arrêter le flux de données. Il y a de nombreux facteurs que nous devons prendre en compte au-delà de la maximisation de la confidentialité.

(Mise à jour pour inclure la mention des récentes arrestations au Royaume-Uni)

Bloomberg Businessweek le plus lu

©2022 Bloomberg LP

Leave a Comment