Les entreprises technologiques Apple et Meta, la société-mère de Facebook, auraient transmis des données clients à des pirates informatiques se faisant passer pour des agents des forces de l’ordre. C’est ce que rapporte mercredi l’agence de presse financière Bloomberg, citant des sources proches du dossier. Selon ces dernières, les données comprenaient des adresses, des numéros de téléphone et des adresses IP. Cela se serait produit lors d’une fausse demande en urgence de données.
Contrairement à une demande d’information normale, une ordonnance d’urgence ne nécessite pas de document signé par un juge. Snap, la société derrière Snapchat, a également reçu une fausse demande de la part des mêmes pirates. On ne sait pas si la société a fourni des données en réponse. On ignore également combien de fois les entreprises ont fourni des données en réponse à de telles fausses demandes.
Des chercheurs en cybersécurité soupçonnent que plusieurs des pirates sont mineurs et se trouvent au Royaume-Uni et aux États-Unis. L’un des mineurs serait également le cerveau du groupe de pirates informatiques Lapsus$, qui a notamment piraté Microsoft, Samsung et Nvidia, confient les sources citées par Bloomberg.
La police londonienne a récemment arrêté sept personnes dans le cadre d’une enquête, toujours en cours, sur Lapsus$. Dans une réaction à Bloomberg, un représentant d’Apple a fait référence aux directives de l’entreprise par rapport au respect de la loi. La société n’a, par contre, pas répondu sur le fond.
Meta, de son côté, a répondu qu’elle vérifiait la légalité de chaque demande de données. La société affirme qu’elle utilise également des systèmes et des processus sophistiqués pour valider les requêtes des forces de l’ordre et détecter les abus.
La société explique collaborer avec les forces de l’ordre pour répondre aux incidents liés à des demandes frauduleuses présumées, “comme nous l’avons fait dans ce cas”.
Les services répressifs du monde entier demandent régulièrement des informations sur les utilisateurs des plateformes de réseaux sociaux dans le cadre d’enquêtes criminelles. Aux États-Unis, ces demandes nécessitent généralement une ordonnance signée par un juge. Les demandes d’urgence, qui sont destinées à être utilisées en cas de danger imminent, n’ont, en revanche, pas besoin d’être signées par un juge.
