Apple et Meta ont fourni des données utilisateur à des pirates se faisant passer pour la police

“Ipsa scientia potestas est », a écrit le philosophe et homme d’État du XVIe siècle Sir Frances Bacon dans son ouvrage de 1597, Meditationes Sacrae. La connaissance elle-même est le pouvoir. L’aphorisme, aussi cliché soit-il, prend une vérité palpable en temps de guerre.

Il suffit de demander aux habitants de Marioupol, une ville du sud-est de l’Ukraine, où les attaques dévastatrices de la Russie ont coupé le flux d’informations à l’intérieur et à l’extérieur de la ville. Pendant ce temps, en Russie, le gouvernement a interdit Facebook et Instagram dans le cadre de sa répression des informations sans l’approbation de l’État. Mais comme nous l’avons expliqué cette semaine, construire un splinternet à la chinoise est bien plus difficile que le Kremlin ne voudrait l’admettre.

Nous avons exploré plus avant le pouvoir de l’information – et le pouvoir de garder l’information secrète – cette semaine avec un regard sur une nouvelle idée pour créer de l’argent numérique aux États-Unis – non, pas Bitcoin ou toute autre crypto-monnaie. De l’argent numérique réel qui, surtout, a la même confidentialité intégrée que les factures de votre portefeuille actuel. Nous avons également plongé dans les pièges de savoir où se trouvent vos enfants et autres proches à tout moment grâce à l’utilisation d’applications de suivi, que vous devriez probablement cesser d’utiliser. Et après l’approbation la semaine dernière de la loi sur les marchés numériques en Europe, nous avons analysé la tâche délicate consistant à forcer les applications de messagerie cryptées à fonctionner ensemble, comme l’exige la loi.

Pour compléter les choses, nous avons mis nos gants sur certains documents internes divulgués qui jettent un nouvel éclairage sur le piratage Okta du gang d’extorsion Lapsus $. Et nous avons examiné comment les chercheurs ont utilisé un satellite déclassé pour diffuser des émissions télévisées pirates.

Mais ce n’est pas tout, les amis. Lisez ci-dessous pour le reste des principales histoires de sécurité de la semaine.

Dans l’un des stratagèmes les plus créatifs que nous ayons vus récemment, des pirates auraient dupé Apple et Meta pour qu’ils transmettent des données utilisateur sensibles, notamment des noms, des numéros de téléphone et des adresses IP, rapporte Bloomberg. Les pirates l’ont fait en exploitant les soi-disant demandes de données d’urgence (EDR), que la police utilise pour accéder aux données lorsqu’une personne est potentiellement en danger immédiat, comme un enfant enlevé, et qui ne nécessitent pas la signature d’un juge. Les organismes de surveillance des libertés civiles critiquent depuis longtemps que les EDR sont mûrs pour les abus des forces de l’ordre, mais c’est la première fois que nous entendons parler de pirates utilisant la faille de confidentialité des données pour voler les données des personnes.

Selon le journaliste de sécurité Brian Krebs, les pirates ont eu accès aux systèmes de police pour envoyer les EDR frauduleux, qui, en raison de leur nature urgente, seraient difficiles à vérifier pour les entreprises technologiques. (Apple et Meta ont déclaré à Bloomberg qu’ils avaient des systèmes en place pour valider les demandes de la police.) Ajout d’une autre couche à la saga : Certains des pirates informatiques impliqués dans ces escroqueries ont ensuite fait partie du groupe Lapsus $, ont rapporté Bloomberg et Krebs, ce qui est à nouveau dans l’actualité cette semaine pour d’autres raisons.

À la suite de l’arrestation et de la libération la semaine dernière de sept jeunes au Royaume-Uni liés à la série de piratages et de tentatives d’extorsion très médiatisés de Lapsus $, la police de la ville de Londres a annoncé vendredi qu’elle avait inculpé deux adolescents, un jeune de 16 ans et un jeune de 17 ans, en lien avec les crimes du gang. Chaque adolescent fait face à trois chefs d’accusation d’accès non autorisé à un ordinateur et à un chef de fraude. Le jeune de 16 ans fait également face à “un chef d’accusation d’avoir amené un ordinateur à exécuter une fonction pour sécuriser l’accès non autorisé à un programme”, a déclaré la police. En raison de règles de confidentialité strictes au Royaume-Uni, les adolescents n’ont pas été nommés publiquement.

Malgré le récit selon lequel la Russie n’a pas utilisé sa puissance de piratage dans le cadre de sa guerre non provoquée contre l’Ukraine, de plus en plus de preuves montrent que ce n’est pas vrai. Tout d’abord, Viasat a publié de nouveaux détails sur l’attaque de son réseau au début de la guerre de la Russie contre l’Ukraine fin février, qui a mis hors ligne certaines communications militaires ukrainiennes et des dizaines de milliers de personnes à travers l’Europe. Viasat a également confirmé une analyse de SentinelLabs, qui a révélé que les attaquants utilisaient un logiciel malveillant d’effacement de modem connu sous le nom d’AcidRain. Selon les chercheurs, ce logiciel malveillant pourrait présenter des “similitudes de développement” avec un autre logiciel malveillant, VPNFilter, que les services de renseignement nationaux américains ont lié au groupe de hackers russe GRU Sandworm.

Puis vint la cyberattaque la plus importante depuis que la Russie a commencé sa guerre. Le service d’État ukrainien des communications spéciales a annoncé lundi que le fournisseur d’accès Internet Ukrtelecom avait subi une cyberattaque “puissante” sur son infrastructure principale. Alors que le SSSC a déclaré qu’Ukrtelecom était en mesure de repousser l’attaque et de commencer la récupération, le service de surveillance Internet NetBlock a déclaré sur Twitter qu’il avait été témoin d’un “effondrement de la connectivité” dans tout le pays.

Les caméras connectées à Internet “Wyze Cam” sont exposées depuis près de trois ans, grâce à une vulnérabilité qui aurait pu permettre aux attaquants d’accéder à distance aux vidéos et autres images stockées sur les cartes mémoire des appareils. De telles vulnérabilités ne sont malheureusement pas inhabituelles dans les appareils de l’Internet des objets, y compris les caméras IP en particulier. La situation était particulièrement importante, cependant, car les chercheurs de la société de sécurité roumaine Bitdefender tentent de divulguer la vulnérabilité à Wyze et d’amener l’entreprise à publier un correctif depuis mars 2019. On ne sait pas pourquoi les chercheurs n’ont pas rendu public les résultats. plus tôt, comme c’est la norme dans la divulgation des vulnérabilités après trois mois, pour attirer davantage l’attention sur la situation. Wyze a publié des correctifs pour la faille le 29 janvier pour ses caméras V2 et V3. Cependant, la société ne prend plus en charge sa caméra V1, qui est également vulnérable. Le bogue est exploitable à distance, mais pas directement sur l’internet ouvert. Les attaquants devraient d’abord compromettre le réseau local sur lequel se trouve la caméra avant de cibler la vulnérabilité Wyze elle-même.

Plus de grandes histoires WIRED