Bloomberg révèle qu’Apple, Google, Facebook, Snap, Twitter et Discord sont la cible d’une pratique assez inquiétante depuis plusieurs mois. Pour harceler leurs victimes, des cybercriminels se font passer pour les forces de l’ordre. Avec succès.

On comprend mieux pourquoi Apple a longtemps lutté pour empêcher les autorités de pirater un iPhone verrouillé, par peur d’ouvrir une boite de Pandore.

Dans un article publié sur Bloomberg le 26 avril 2022, on découvre une pratique très inquiétante utilisée par des cyber-criminels pour dérober des informations confidentielles sur leurs victimes. Lorsqu’ils ont décidé de cibler une personne (les adolescents et les femmes seraient particulièrement visés aux États-Unis), ils envoient à Apple, Google, Meta (Facebook, Instagram…), Snap, Twitter et Discord une demande d’urgence pour accéder à des données personnelles, ce qui est assez commun dans l’industrie. Les marques communiquent ces données quasiment systématiquement, puisqu’elles sont dans l’incapacité de vérifier qui les émet.

Un piratage de la police

Pour arriver à leurs fins, les pirates suivent généralement une méthodologie précise :

  • En premier lieu, ils piratent la boîte mail d’un service de police étranger.
  • Les criminels envoient ensuite une demande urgente aux entreprises tech ciblées, avec le nom de la personne qu’ils prétendent surveiller en raison d’une enquête (ou pour la protéger, en cas de disparition par exemple). Cette pratique n’est pas soumise à une décision de justice, les policiers peuvent faire ces demandes facilement.
  • Généralement, la plupart des entreprises répondent favorablement et communiquent des informations dites « basiques », soit le nom complet, l’adresse mail, le numéro de téléphone, l’adresse postale. et l’adresse IP. Certaines entreprises donnent plus, chacune a ses propres pratiques.
  • Avec ces informations, les criminels attaquent ensuite de différentes manières. Ils peuvent tenter d’envoyer des mails de phishing pour pirater le mot de passe d’un compte ou, plus simplement, harceler par téléphone et demander des photos sexuelles en échange. Bloomberg croit savoir que certains harceleurs appellent la police et font croire qu’il y a un crime chez la personne visée, afin de l’intimider.
Emergency Requests Apple
Sur son site, Apple communique publiquement le nombre de demandes des autorités. Il y en avait eu 1162 en 2020, mais ce nombre augmente annuellement. // Source : Apple

Pourquoi les entreprises se font avoir ?

Sur le papier, aucune des entreprises visées ne donnent un accès complet aux comptes de leurs victimes. Toutefois, les informations données sont parfois suffisantes pour permettre à des harceleurs d’intimider leurs victimes pour leur dérober de l’argent. Ces demandes d’urgence, qui reposent sur la confiance entre les autorités et les entreprises, ont clairement été détournées.

Que faut-il faire ? Si les entreprises aimeraient sûrement ne plus avoir à communiquer quoi que ce soit aux forces de l’ordre, elles sont obligées moralement. Ces informations peuvent sauver des vies, elles ne peuvent donc pas mettre fin aux demandes d’urgence.

En revanche, une des idées citées dans l’article de Bloomberg est l’instauration d’un système de double authentification. Pour accéder à la réponse à une demande d’urgence, pourquoi pas obliger les policiers à communiquer un code envoyé à une autre adresse. Cela rendrait le piratage de leurs comptes plus difficile, même si on peut imaginer que les stations de police de certains pays n’ont pas une infrastructure très sophistiquée.