Dupés par des hackers, Apple et Meta auraient partagé des données utilisateurs

31 mars 2022 à 12h50
1
meta

Des pirates ont soutiré des données clients auprès d’Apple et de Meta en se faisant passer pour des représentants de la loi.

Plutôt que de tenter de hacker directement les serveurs des entreprises pour obtenir des données, les hackers ont exploité le système de « demandes d’urgence » en utilisant des comptes de messagerie de forces de l’ordre piratés.

Un système de protection des personnes détourné

Dans le cadre d’enquêtes, les véritables services de police demandent quotidiennement des informations auprès de sociétés comme Meta ou Apple. De telles demandes sont bien sûr encadrées par une procédure juridique (requête d’un tribunal, mandat de perquisition...). En revanche, lorsque la situation demande d’agir vite, ces organismes peuvent adresser des « demandes d’urgence » qui ont moins de garde-fous.

Au sujet de ce type de demandes, Facebook, pour prendre cet exemple, précise : « Dans les cas de risque imminent pour un enfant ou de risque de mort ou d’atteinte sérieuse à l’intégrité physique d’une personne, et lorsque le cas en question oblige à la divulgation d’informations sans délai, un représentant des services de police peut soumettre une demande par le biais du système de demande en ligne destiné aux services de police. »

Pour quantifier ce type de procédure, entre juillet et décembre 2020, Apple a reçu 1 162 demandes d’urgence issues de 29 pays. La marque à la pomme a répondu favorablement à 93 % de celles-ci. Chez Meta, entre janvier et juin 2021, ce sont 21 700 demandes d’urgence qui ont été adressées à l’entreprise, et 77 % ont abouti à une transmission de données.

Un groupe de pirates connu sous le nom de « Recursion Team », en possession d’identifiants et d'adresses mails compromis, a donc soutiré des informations à Apple et à Meta tout au long de 2021 par ce biais. Les deux société auraient communiqué des adresses IP, adresses postales, numéros de téléphone, etc.

L’ampleur de la fraude et le nombre de personnes touchées n’est pas connu à ce stade de l’enquête. Recursion Team n'est plus actif, mais certains de ses membres composeraient désormais le groupe Lapsus$.

Pas de système centralisé

Vous l’imaginez, étant donné la quantité de demandes et la rapidité à laquelle les sociétés doivent les traiter, il y a forcément des failles. D’autant plus que ce système de demande est un patchwork de milliers d’adresses électroniques émanant de milliers de services, du petit service de police local aux agences fédérales : il n’a rien de centralisé. En outre, certains systèmes sont faciles à compromettre.

Gene Yoo, directeur général de la société de cybersécurité Resecurity, Inc., explique : « Les boutiques clandestines du dark web contiennent des comptes de messagerie électronique compromis d'organismes chargés de l'application de la loi, qui peuvent être vendus avec les cookies et les métadonnées qui y sont attachés pour un prix allant de 10 à 50 dollars. »

Réactions de Meta et de Discord

Du côté des entreprises victimes, Andy Stone, porte-parole de Meta, a publié un communiqué dans lequel il déclare : « Nous examinons chaque demande de données pour en vérifier la légalité et utilisons des systèmes et des processus avancés pour valider les demandes des forces de l'ordre et détecter les abus. Nous bloquons les comptes compromis connus pour les empêcher de faire des demandes et travaillons avec les forces de l'ordre pour répondre aux incidents impliquant des demandes frauduleuses présumées, comme nous l'avons fait dans ce cas. »

Outre Meta et Apple, Signal et Discord auraient également reçus de fausses demandes. Discord a toutefois précisé au média Bloomberg que son processus de vérification avait identifié certains comptes de messagerie de services de police compromis et avait notifié les services compétents de ces abus.

Sources : Bloomberg, Facebook

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
1
2
Felaz
Si même ces gens là se font hacker…
paulposition
Bah, pour une fois, au lieu de vendre les données, ils les ont « partagé » gratuitement; ca change
Voir tous les messages sur le forum

Lectures liées

Profitez de Netflix, Prime, à l'étranger grâce à ce VPN à prix réduit
Une visiteuse de Disney World se fait extorquer 40 000 dollars via son Apple Watch
Bon plan VPN : préservez votre anonymat en ligne avec ces 3 offres à prix fou !
Découvrez comment votre carte SIM pourrait protéger vos données des hackers
Attention à ce malware qui se propage et menace votre navigateur
Découvrez Proton, la toute nouvelle identité visuelle de ProtonMail
Opera VPN Pro est désormais disponible sur Windows et macOS
Zoom sur Fronton, le botnet russe qui multiplie les fake news sur les réseaux
YouTube retire 70 000 vidéos de désinformation pour contrecarrer la propagande russe sur la guerre en Ukraine
Face au malware XorDdos, Microsoft recommande son navigateur Edge aux utilisateurs de Linux
Haut de page