On comprend mieux pourquoi Apple a longtemps lutté pour empêcher les autorités de pirater un iPhone verrouillé, par peur d’ouvrir une boite de Pandore.
Dans un article publié sur Bloomberg le 26 avril 2022, on découvre une pratique très inquiétante utilisée par des cyber-criminels pour dérober des informations confidentielles sur leurs victimes. Lorsqu’ils ont décidé de cibler une personne (les adolescents et les femmes seraient particulièrement visés aux États-Unis), ils envoient à Apple, Google, Meta (Facebook, Instagram…), Snap, Twitter et Discord une demande d’urgence pour accéder à des données personnelles, ce qui est assez commun dans l’industrie. Les marques communiquent ces données quasiment systématiquement, puisqu’elles sont dans l’incapacité de vérifier qui les émet.
Un piratage de la police
Avec U-Cyber 360°, la société française Mailinblack vous permet de protéger votre organisation et d’éduquer vos collaborateurs à la cybersécurité.
Du gestionnaire de mots de passe à la sécurisation des e-mails en passant par la formation continue ou les simulations d’attaques, cette solution regroupe tous les outils pour prévenir les risques cyber.
Pour arriver à leurs fins, les pirates suivent généralement une méthodologie précise :
- En premier lieu, ils piratent la boîte mail d’un service de police étranger.
- Les criminels envoient ensuite une demande urgente aux entreprises tech ciblées, avec le nom de la personne qu’ils prétendent surveiller en raison d’une enquête (ou pour la protéger, en cas de disparition par exemple). Cette pratique n’est pas soumise à une décision de justice, les policiers peuvent faire ces demandes facilement.
- Généralement, la plupart des entreprises répondent favorablement et communiquent des informations dites « basiques », soit le nom complet, l’adresse mail, le numéro de téléphone, l’adresse postale. et l’adresse IP. Certaines entreprises donnent plus, chacune a ses propres pratiques.
- Avec ces informations, les criminels attaquent ensuite de différentes manières. Ils peuvent tenter d’envoyer des mails de phishing pour pirater le mot de passe d’un compte ou, plus simplement, harceler par téléphone et demander des photos sexuelles en échange. Bloomberg croit savoir que certains harceleurs appellent la police et font croire qu’il y a un crime chez la personne visée, afin de l’intimider.
Pourquoi les entreprises se font avoir ?
Sur le papier, aucune des entreprises visées ne donnent un accès complet aux comptes de leurs victimes. Toutefois, les informations données sont parfois suffisantes pour permettre à des harceleurs d’intimider leurs victimes pour leur dérober de l’argent. Ces demandes d’urgence, qui reposent sur la confiance entre les autorités et les entreprises, ont clairement été détournées.
Que faut-il faire ? Si les entreprises aimeraient sûrement ne plus avoir à communiquer quoi que ce soit aux forces de l’ordre, elles sont obligées moralement. Ces informations peuvent sauver des vies, elles ne peuvent donc pas mettre fin aux demandes d’urgence.
En revanche, une des idées citées dans l’article de Bloomberg est l’instauration d’un système de double authentification. Pour accéder à la réponse à une demande d’urgence, pourquoi pas obliger les policiers à communiquer un code envoyé à une autre adresse. Cela rendrait le piratage de leurs comptes plus difficile, même si on peut imaginer que les stations de police de certains pays n’ont pas une infrastructure très sophistiquée.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !