Sécurité : Apple et Meta auraient été bernés par des hackers adolescents
Même les plus grands ne sont pas infaillibles, Apple et Meta y compris. Selon Bloomberg, les deux entreprises auraient malencontreusement octroyé, en 2021, certaines informations sensibles de leurs utilisateurs à des hackers. Ces deniers auraient en effet réussi à formuler de fausses demandes simulant celles des forces de l'ordre.
La faute serait survenue en milieu d'année dernière lorsque les deux géants se seraient retrouvés à fournir des informations concernant notamment l'adresse IP, le numéro de téléphone ou même l'adresse de leurs utilisateurs.
Une faille mise à profit
Il est assez courant aujourd'hui pour les forces de l'ordre de formuler des demandes d'accès à des données concernant un utilisateur spécifique lorsque celles-ci peuvent aider à résoudre des enquêtes criminelles. Certaines de ces demandes nécessitent tout de même des prérequis juridiques pour être mises en place. C'est justement ce à quoi ont pensé les hackers en faisant non pas des demandes de données classiques, mais des demandes de données dites "d'urgence", laissant présager que la vie de certaines personnes était en danger.
Le processus est assez simple : il leur a fallu tout d'abord accéder via une attaque aux systèmes de messagerie électronique d'un service de police pour pouvoir ensuite effectuer une demande d'urgence en se faisant passer pour les forces de l'ordre. Il leur suffit ensuite de décrire une situation alarmante pour laquelle la non-restitution des données mettrait des gens en danger. Certains hackers vendent même l'accès à certaines adresses de messagerie du gouvernement dans ce but précis.
Des attaques effectuées par des adolescents ?
Plus étonnamment, la majorité des criminels effectuant ce genre de demandes s'avéreraient être des adolescents et certains experts soupçonneraient même le leader du groupe de hackers Lapsus$, qui n'a lui aussi que 16 ans, d'être impliqué dans ce genre d'escroquerie.
La série d'attaques subies par les deux firmes serait, quant à elle, l'œuvre d'un groupe nommé Recursion, dissout depuis, et dont certains membres ont fini par rejoindre le groupe Lapsus$ sous une nouvelle identité. Des sources impliquées dans l'enquête expliquent que ces pirates ont eu accès aux comptes d'agences gouvernementales de plusieurs pays et qu'ils auraient ainsi ciblé de nombreuses entreprises pendant plusieurs mois à partir de janvier 2021.
Une menace impalpable étendue à toute l'industrie
Meta assure pourtant examiner chaque demande et mettre en place des processus avancés pour détecter tout abus. L'entreprise affirme bloquer les comptes compromis et travailler main dans la main avec les forces de l'ordre pour répondre à ces demandes frauduleuses.
Pour ce qui est d'Apple, ses recommandations à l'intention des forces de l'ordre stipulent que l'entreprise peut être amenée à demander confirmation à ceux-ci pour vérifier que la demande d'urgence était bien légitime.
Meta et Apple ne sont pas les seules entreprises concernées par de telles attaques. Bloomberg rapporte que Snap Inc. (Snapchat) a également reçu des demandes similaires, mais l'on ne sait pas si l'entreprise y a donné suite ou non. Discord semble lui aussi avoir été touché par ces fausses demandes et y avoir répondu.
Cette menace est aujourd'hui bel et bien réelle et répandue à toute l'industrie. Il semble assez surprenant que des personnes puissent ainsi déjouer les barrières mises en place par ces entreprises pour garder nos données en lieu sûr. Espérons que la faille soit corrigée le plus rapidement possible.