De grandes entreprises technologiques auraient dévoilé des informations personnelles sensibles sur leurs clients en réponse à des demandes légales frauduleuses. Selon Geeko, citant une information du journal Bloomberg, ces données obtenues sont des armes pour cibler des femmes et des mineurs. Elles ont même été utilisées pour faire pression sur eux afin qu’ils génèrent et partagent du matériel sexuellement explicite.
Concrètement, ce vol de données se déroule comme tel : les attaquants compromettent le système de messagerie d’un organisme étranger chargé de l’application de la loi. Ensuite, ils envoient une “demande de données d’urgence” à un géant de la technologie comme Meta et Apple.
De fausses forces de l’ordre
Les entreprises victimes de ces fausses demandes comprennent Meta Platforms Inc, Apple Inc, Google d’Alphabet Inc, Snap Inc, Twitter Inc et Discord Inc. Les attaquants parviennent à se faire passer pour des agents des forces de l’ordre. Et, étant donné que les demandes semblent provenir de services de police légitimes, il est difficile pour les entreprises de savoir quand elles ont été amenées à communiquer des données d’utilisateurs. Ainsi, face à cette nouvelle forme de criminalité en ligne qui implique des victimes mineures, les lanceurs d’alerte et les entreprises technologiques commencent à réfléchir à de nouveaux moyens de vérifier les demandes légales légitimes.
Un outil criminel inquiétant
Cette nouvelle technique de fraude est considérée par les forces de l’ordre et d’autres enquêteurs comme le plus récent outil criminel servant à obtenir des informations permettant d’identifier des personnes. Elle peut servir à percevoir de l’argent mais aussi à extorquer et harceler des victimes innocentes. Le cœur de ce problème ? Le fait que les demandes d’urgence ne nécessitent pas d’ordonnance judiciaire signée par un juge. Cela signifie que les entreprises ne sont pas dans l’obligation de divulguer des informations, mais elles finissent souvent par le faire de “bonne foi”.
Généralement, les services de police demandent un accès à ces données dans les cas où un danger imminent est possible. Par exemple, en cas de suicide, de meurtre et d’enlèvement. En réponse, les entreprises technologiques fournissent à l’attaquant des informations de base sur l’utilisateur. À savoir, le nom de l’utilisateur, son adresse IP, son adresse électronique et son adresse physique.
Avec Geeko
