Certains hackers ont trouvé une manière efficiente de mettre la main sur les données personnelles de quelqu’un: ils se font passer pour un agent qui a besoin en urgence d’informations ‘pour une question de vie ou de mort’.
La méthode est aussi simple que géniale. Lorsque des informations sont formellement sollicitées auprès d’un réseau social ou d’une entreprise technologique, cette demande doit se faire sur base d’un mandat délivré par un juge. Mais pour des questions de vie ou de mort, cette procédure prend trop de temps, et on vous demande donc de transmettre les renseignements à l’avance.
Le chercheur en sécurité Brian Krebs a découvert qu’il y a là un problème. Au moyen de comptes e-mail piratés d’agents de police, des criminels peuvent en effet faire suivre de manière crédible et avec succès ce genre de demande de données.
Aucun cas concret n’est mentionné, mais les fournisseurs de ce genre de compte promotionnent l’option consistant à solliciter notamment des données auprès de SnapChat, Apple, Uber, Instagram et d’autres. Krebs fait observer que sur des forums de hackers, ces comptes sont en vente pour quelques centaines de dollars. Le risque pris est énorme, mais cela ne nécessite que peu de connaissance technique.
De facto, les hackers peuvent tout demander: journaux de chat (clavardage), photos envoyées ou reçues, ou emplacements. Les firmes technologiques réagissent généralement vite à ce type d’Emergency Data Request (EDR) et veulent apporter rapidement leur aide, afin d’éviter que leurs tergiversations puissent causer la mort de quelqu’un, en sautant des processus internes.
Le problème semble surtout, mais pas exclusivement, se manifester aux Etats-Unis. Krebs constate que rien que dans ce pays, il existe quelque 18.000 services de police différents, ce qui fait que les firmes technologiques peuvent recevoir ce genre de demande de tous les horizons, en utilisant uniquement l’adresse mail pour légitimer que la demande émane bien d’un service de police.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici