Des pirates ont soutiré des données clients auprès d’Apple et de Meta en se faisant passer pour des représentants de la loi.
Plutôt que de tenter de hacker directement les serveurs des entreprises pour obtenir des données, les hackers ont exploité le système de « demandes d’urgence » en utilisant des comptes de messagerie de forces de l’ordre piratés.
Un système de protection des personnes détourné
Dans le cadre d’enquêtes, les véritables services de police demandent quotidiennement des informations auprès de sociétés comme Meta ou Apple. De telles demandes sont bien sûr encadrées par une procédure juridique (requête d’un tribunal, mandat de perquisition...). En revanche, lorsque la situation demande d’agir vite, ces organismes peuvent adresser des « demandes d’urgence » qui ont moins de garde-fous.
Au sujet de ce type de demandes, Facebook, pour prendre cet exemple, précise : « Dans les cas de risque imminent pour un enfant ou de risque de mort ou d’atteinte sérieuse à l’intégrité physique d’une personne, et lorsque le cas en question oblige à la divulgation d’informations sans délai, un représentant des services de police peut soumettre une demande par le biais du système de demande en ligne destiné aux services de police. »
Pour quantifier ce type de procédure, entre juillet et décembre 2020, Apple a reçu 1 162 demandes d’urgence issues de 29 pays. La marque à la pomme a répondu favorablement à 93 % de celles-ci. Chez Meta, entre janvier et juin 2021, ce sont 21 700 demandes d’urgence qui ont été adressées à l’entreprise, et 77 % ont abouti à une transmission de données.
Un groupe de pirates connu sous le nom de « Recursion Team », en possession d’identifiants et d'adresses mails compromis, a donc soutiré des informations à Apple et à Meta tout au long de 2021 par ce biais. Les deux société auraient communiqué des adresses IP, adresses postales, numéros de téléphone, etc.
L’ampleur de la fraude et le nombre de personnes touchées n’est pas connu à ce stade de l’enquête. Recursion Team n'est plus actif, mais certains de ses membres composeraient désormais le groupe Lapsus$.
Pas de système centralisé
Vous l’imaginez, étant donné la quantité de demandes et la rapidité à laquelle les sociétés doivent les traiter, il y a forcément des failles. D’autant plus que ce système de demande est un patchwork de milliers d’adresses électroniques émanant de milliers de services, du petit service de police local aux agences fédérales : il n’a rien de centralisé. En outre, certains systèmes sont faciles à compromettre.
Gene Yoo, directeur général de la société de cybersécurité Resecurity, Inc., explique : « Les boutiques clandestines du dark web contiennent des comptes de messagerie électronique compromis d'organismes chargés de l'application de la loi, qui peuvent être vendus avec les cookies et les métadonnées qui y sont attachés pour un prix allant de 10 à 50 dollars. »
Réactions de Meta et de Discord
Du côté des entreprises victimes, Andy Stone, porte-parole de Meta, a publié un communiqué dans lequel il déclare : « Nous examinons chaque demande de données pour en vérifier la légalité et utilisons des systèmes et des processus avancés pour valider les demandes des forces de l'ordre et détecter les abus. Nous bloquons les comptes compromis connus pour les empêcher de faire des demandes et travaillons avec les forces de l'ordre pour répondre aux incidents impliquant des demandes frauduleuses présumées, comme nous l'avons fait dans ce cas. »
