Posté le avril 1, 2022 à 5:10
APPLE ET META ONT COMMUNIQUÉ LES DONNÉES DE LEURS CLIENTS À DES HACKERS AYANT FAIT DE REQUÊTES FRAUDULEUSES
Un rapport de Bloomberg a révélé que Meta et Apple ont, à leur insu, transmis les données de leurs utilisateurs à des hackers se prenant pour des forces de l’ordre.
Selon Bloomberg, l’erreur s’est produite au milieu de l’année 2021, lorsque les deux entreprises se sont laissées prendre au jeu des demandes truquées et ont transmis aux hackers des informations sur les adresses personnelles, les adresses IP et les numéros de téléphone des utilisateurs.
Il n’est pas rare que les forces de l’ordre demandent des données aux plateformes de médias sociaux dans le cadre d’enquêtes. Cela leur donne accès aux comptes de médias sociaux de l’utilisateur surveillé ou faisant l’objet d’une enquête. Si ces demandes nécessitent un mandat de perquisition ou une assignation à comparaître signée par un juge, il n’en est rien pour les demandes de données d’urgence. Ces types de demandes sont faites par les forces de l’ordre dans des situations très graves et mettant des vies en danger.
Une recrudescence de fausses demandes de données d’urgence
Les acteurs de la menace et les cybercriminels sont toujours à la recherche de moyens de frapper et d’obtenir des données vitales pour les vendre sur le darknet ou faire chanter les victimes pour qu’elles paient une rançon. Mais les demandes de données d’urgence frauduleuses sont de plus en plus courantes chez les acteurs de menaces. Selon Krebs on Security, les attaquants commencent généralement par accéder aux systèmes de messagerie d’un organisme d’application de la loi.
Une fois qu’ils ont accédé au système, ils peuvent forger une demande de données qui met l’accent sur l’urgence et décrit le danger des retards dans l’envoi des données. Le message est communiqué à l’entreprise ciblée en prenant la position des forces de l’ordre. Cela lui donne une apparence très authentique puisque l’entreprise ciblée croit que l’e-mail provient d’une organisation officielle.
Outre les complots visant à accéder aux comptes de messagerie des agences de sécurité, les attaquants recherchent également des comptes de messagerie sur le darknet.
Les attaques sont courantes de la part des adolescents
Le rapport indique également que ces types d’attaques sont le plus souvent menées par des adolescents. Bloomberg ajoute que les chercheurs en cybersécurité pensent que les adolescents à l’origine du groupe de hackers Lapsus$ pourraient être impliqués dans ce type de fraude. Il n’est pas clair si le groupe a d’autres recrues après que la police londonienne a appréhendé sept adolescents en relation avec le groupe.
Toutefois, les membres d’un groupe de menace connu sous le nom de Recursion Team pourraient être responsables de l’attaque en chaîne de l’année dernière, indique le rapport. Bien que ce groupe ne soit plus en activité, certains de ses membres ont rejoint Lapsus$ sous différents pseudos.
Les responsables de l’enquête sur l’incident ont déclaré que les acteurs de la menace ont accédé aux comptes des organismes chargés de l’application de la loi dans différents pays et ont ciblé plusieurs entreprises pendant plusieurs mois à partir de janvier de l’année dernière.
Le directeur de la politique et de la communication de Meta, Andy Stone, a déclaré que toutes les données ont été examinées pour vérifier leur caractère légal. En outre, l’équipe a utilisé des processus et des systèmes avancés pour la validation des demandes des forces de l’ordre afin de détecter les abus. Il a ajouté que l’équipe de sécurité de la société a empêché les comptes compromis de faire des demandes et collabore avec les forces de l’ordre pour traiter les incidents impliquant des demandes frauduleuses.
Les acteurs de la menace ont réussi malgré la diligence d’Apple
Apple, de son côté, a pointé du doigt ses directives d’application de la loi lorsqu’on lui a demandé de commenter la situation.
Les lignes directrices indiquent que l’entreprise contacte régulièrement un superviseur de l’organisme chargé de l’application de la loi ou de l’administration qui demande des informations sur les données des clients. L’entreprise a ajouté qu’elle fait preuve de diligence raisonnable avant d’accéder à une demande des agences gouvernementales ou des forces de l’ordre concernant les données de ses utilisateurs.
Un superviseur est toujours contacté pour vérifier si la demande de données est réellement authentique et provient de l’autorité policière d’origine. La réponse d’Apple montre qu’elle a fait preuve de diligence réelle avant de divulguer les données. Mais malgré cette diligence, les acteurs de la menace ont réussi à tromper les deux entreprises. Cela montre le niveau de planification des acteurs de la menace pour couvrir toutes les failles qui auraient pu les exposer.
D’autres entreprises ont déjà été ciblées
Il convient de noter qu’Apple et Meta ne sont pas les seules entreprises à avoir été victimes de demandes de données d’urgence frauduleuses. Des acteurs de la menace ont également contacté Snap avec de fausses demandes, selon Bloomberg. Cependant, on ne sait pas si l’entreprise a partagé les données de ses clients suite à la demande. Snap n’a pas répondu aux demandes de commentaires sur la situation. De même, Discord a confirmé avoir été trompé en partageant les données des utilisateurs après avoir reçu une fausse demande de données clients d’urgence de la part de cyberattaquants.
