Nouveau Privacy Shield : réponse providentielle ou naufrage prévisible pour les flux de données outre-Atlantique ?
1 avril 2022Mise en œuvre de la réforme des procédures correctrices, vers un accroissement des sanctions de la CNIL en 2022 ?
15 avril 2022Des GAFAM ont été victimes d’attaques de type « spoofing » exposant ainsi des clients et utilisateurs à des campagnes de harcèlement
L’agence de presse américaine Bloomberg1, relayée par divers autres médias2, a révélé le 30 mars dernier, que des campagnes d’attaques ciblées sur des géants du Web (dont des GAFAM) ont été perpétrées en 2021 depuis des noms de domaine ou des comptes de messageries d’autorités judiciaires ou gouvernementales, qui avaient été préalablement compromis. Ces arnaques ont ainsi permis à des hackers, d’extorquer auprès de certains acteurs du numérique (dont Apple et Meta), les données à caractère personnel de quelques-uns de leurs clients, dans le but de procéder, ensuite, à des campagnes massives de harcèlement, puis à des tentatives de fraudes financières.
Rappels de faits qui ont été rapportés
Dans le courant de l’année 2021, des géants du Web, dont Apple et Meta Platforms (groupe auquel appartient Facebook) ont fait l’objet d’attaques par des hackers se faisant passer pour des autorités judiciaires ou gouvernementales ou des forces de police, en leur demandant de leur fournir des informations telles que adresses IP, numéros de téléphone, adresses postales, etc. Cela a amené les acteurs du numérique à divulguer à tort des données personnelles de leurs clients ou utilisateurs, auprès de destinataires non autorisés.
D’autres acteurs du Web et du numérique, dont les plateformes Snap et Discord, auraient fait l’objet des mêmes campagnes de fausses demandes d’information, sur leurs clients ou utilisateurs ; mais il n’a pas été précisé, si celles-ci y ont effectivement donné suite.
Il est également précisé par Bloomberg que vraisemblablement, les auteurs de ces attaques seraient des personnes vivant au Royaume-Uni ou aux États-Unis, et notamment des mineurs (de 16 à 21 ans). Ces derniers feraient partie du groupe de cybercriminels Recursion Team, dont le cerveau présumé, le groupe de hackers Lapsus$, avait déjà revendiqué avoir piraté Microsoft, Samsung Electronics et Nvidia, entre autres grandes entreprises.
Rappels des procédures-types et obligations
D’ordinaire, de telles demandes d’informations ne sont recevables que dans le cadre de procédures judiciaires formelles, selon les juridictions compétentes et les lois des pays concernés (par exemple, en réponse à une ordonnance judiciaire).
À titre exceptionnel, il est possible de procéder rapidement, via une procédure accélérée de demande d’information en urgence (cf. « Emergency Data Requests », aux États-Unis), afin de permettre des interventions immédiates, dans des cas précis invoqués pour « éviter des souffrances à des personnes innocentes », voire pour « sauver des vies humaines ».
Ce qui fait foi de façon trompeuse et ce que vérifient systématiquement ces grands acteurs du Web, c’est l’authenticité des noms de domaine et des adresses électroniques d’où émanent de telles demandes. Dans le cas présent, ces éléments d’identification étaient considérés comme authentiques et donc fiables, parce qu’ils étaient préalablement référencés comme des sources « dignes de confiance ».
Malheureusement, certains de ces noms de domaine ou de ces adresses électroniques avaient entre-temps été piratés et n’étaient donc plus « de confiance ». Les hackers se sont ainsi fait passer pour des entités ou autorités compétentes et reconnues pour pouvoir adresser ce type de demandes urgentes (attaque de type « spoofing », en anglais). Ils seraient même allés jusqu’à créer de fausses demandes d’information en urgence, à partir dedemandes authentiques, en y apposant des copies de signatures manuscrites, correspondant à de véritables représentants des autorités compétentes.
Quels enseignements peut-on en tirer, du point de vue de la vie privée ?
Chacun des acteurs du Web ayant été visé par cette arnaque a manqué à ses obligations en tant que responsable de traitement. Sous l’angle de la protection des données personnelles, ce manquement se caractérise par un défaut de sécurité du traitement susceptible de pouvoir entraîner des impacts matériels et moraux élevés pour les personnes concernées, puisqu’elles ont, par la suite, été victimes de campagnes massives de harcèlement et, également, des tentatives de fraudes financières.
De là à pouvoir en conclure que les responsables du traitement pourraient être sanctionnés sur le fondement du RGPD3 ou de notre Loi dite « Informatique et Libertés », il s’agit d’un pas qu’il n’est ni évident, ni immédiat, à franchir.
Toutefois il est possible d’en tirer des enseignements d’un tout autre ordre.
Quels enseignements peut-on en tirer, du point de vue de la sécurité ?
Le fait de mettre en avant des motifs impérieux (pour : « préserver des personnes, voire sauver des vies »), grâce à des procédures accélérées dites « d’urgence » ne peut que fragiliser les dispositifs de cybersécurité mis en place. En l’espèce, les sources requérantes, pourtant réputées « dignes de confiance », n’étaient précisément déjà plus « de confiance », puisqu’elles avaient été compromises (certainement très récemment avant les faits).
Cela fait exactement penser aux attaques de type Jour-0 («0-day », en anglais) qui font que des logiciels malveillants ou « maliciels » (« malware », en anglais) embarquent dans des virus informatiques, des bombes logiques ou des chevaux de Troie, des méthodes d’attaques non encore connues par les éditeurs de logiciels anti-virus / anti-espiongiciels / anti-rançongiciels et par les systèmes d’exploitation de toutes sortes (Windows, MacOS, Cirtix, Unix, Linux, SCADA, etc.).
Alors, ne faudrait-il pas s’inspirer des dispositifs classiques de cyber-défense pour résoudre le nouveau dilemme qu’apportent ces attaques émanant de sources supposées « dignes de confiance » ?
De la mécanique des risques encourus au sens de la Sécurité des Systèmes d’information ?
Il faut savoir qu’un scénario de risque, dans le domaine de la Sécurité des Systèmes d’Information (et de Communication) est quasiment toujours conçu d’une seule manière :
- Une menace que l’on peut caractériser par sa source, ici des hackers de niveau international ;
- Une motivation, ici l’appât du gain, via des campagnes de harcèlement et de fraude financière ;
- Une méthode, ici le « spoofing » d’autorité pourtant réputée « digne de confiance » ;
- Une ou plusieurs vulnérabilités exploitables, ici l’obligation d’agir vite sous la contrainte de procédures accélérées ce qui par effet pivot d’affaiblir le protocole de vérification de l’authenticité des sources de demandes d’information confidentielle ;
- Un actif de support (au sens de la norme internationale ISO-IEC 270054) ou un bien en support (au sens de la méthode E.B.I.O.S.5) : ici les demandes d’information confidentielles ;
- Un actif primordial (au sens de cette norme ISO-IEC 27005) ou un bien essentiel (au sens de cette méthode E.B.I.O.S.) qui est hébergé (stocké), ou véhiculé (échangé) par ce bien support.
S’il est quasiment impossible d’agir sur les motivations et méthodes de telles menaces de très haut niveau et à très haut potentiel ; en revanche, il est fortement conseillé, voire formellement exigé (comme le prévoit le RGPD et la Loi « informatique et Libertés ») de s’intéresser essentiellement aux vulnérabilités exploitables (les « exploits », en anglais). Dans le cas présent, il s’agit de l’affaiblissement de la procédure d’authentification des sources de demandes d’informations confidentielles, en la rendant obligatoire, instantanée, fiable et pérenne. En effet, faire reposer le respect de la vie privée de ses clients et utilisateurs du monde entier, sur la présomption d’authenticité d’un nom de domaine et/ou d’une adresse électronique relève désormais de la négligence caractérisée et du non-respect de l’état de l’art en la matière.
Aussi, ne faudrait-il pas d’ores-et-déjà mettre en garde, tout responsable de traitement de données personnelles, vis-à-vis de tout raccourci ou toute procédure accélérée qui, prétextant une meilleure sécurité-innocuité (ou « safety », en anglais), affaiblit la sécurité-immunité (ou « security », en anglais), et augmente forcément les risques de violation de la sécurité-intimité (ou « privacy », en anglais) ?
Pour en savoir plus :
1. Article de William turton, « Apple and Meta Gave User Data to Hackers Who Used Forged Legal Resquest », Bloomberg, 30 mars 2022
2. Article de Stéphane le calme, « Apple et Meta ont partagé des données avec des hackers se faisant passer pour des agents des forces de l’ordre », Developpez.com, 31 mars 2022
3. Règlement UE 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données, 27 avril 2016
4. Norme révisée par l’ISO/IEC 27005:2011, « Technologies de l’information — Techniques de sécurité — Gestion des risques liés à la sécurité de l’information », juin 2011
5. Guide de la méthode EBIOS, EBIOS – « Expression des besoins et identification des objectifs de sécurité », Agence nationale de la sécurité des systèmes d’information (ANSSI), 2010
Par Gilles Trouessin | News, Protection des données, Sécurité | Commentaires fermés