Dans une mise en garde inquiétante, le FBI a alerté que des cybercriminels obtiennent des informations privées sur les utilisateurs, comme leurs emails et numéros de téléphone, auprès de géants technologiques basés aux États-Unis. La méthode employée est aussi simple qu’alarmante : en compromettant des adresses email gouvernementales et policières, les hackers envoient de fausses demandes de données d’urgence aux entreprises tech, qui s’exécutent en pensant répondre à des requêtes légitimes des autorités.
Une menace sous-estimée qui prend de l’ampleur
Bien que l’abus des demandes de données d’urgence ne soit pas un phénomène nouveau, ayant été signalé à de nombreuses reprises ces dernières années, l’ampleur du problème semble s’accroître. Le FBI admet rarement publiquement ce type de menace. Pourtant, dans son avis, il indique avoir constaté une recrudescence des messages en ligne de cybercriminels se vantant d’avoir accès à des comptes email gouvernementaux et policiers compromis, ou proposant leurs services pour lancer de fausses requêtes « d’urgence ».
Les cybercriminels obtiennent probablement l’accès à des adresses e-mail gouvernementales américaines et étrangères compromises et les utilisent pour effectuer de fausses demandes de données d’urgence auprès d’entreprises basées aux États-Unis, exposant les informations personnelles des clients à une utilisation ultérieure à des fins criminelles.
– Extrait de l’avis du FBI
Quand l’urgence prime sur les procédures standards
Normalement, la police et les forces de l’ordre américaines ont besoin d’une justification légale, comme un mandat de perquisition délivré par un tribunal, pour obtenir des informations privées stockées par les entreprises. Mais il existe une procédure d’exception : les demandes d’urgence. En cas de menace immédiate, lorsqu’il n’y a pas le temps de passer devant un juge, les autorités peuvent exiger des données personnelles en urgence auprès des entreprises technologiques.
C’est précisément cette faille dans le système que les cybercriminels exploitent, comme le souligne l’avis du FBI. En utilisant des comptes emails de police compromis, ils envoient des demandes d’urgence falsifiées mais d’apparence légitime, parfois en invoquant de fausses menaces comme des affaires de traite d’êtres humains, ou prétendant qu’un individu « souffrira grandement ou mourra » si l’entreprise ne fournit pas immédiatement les informations demandées.
Apple, Meta, Google dans le viseur
Les géants de la tech comme Apple, Meta (Facebook, Instagram) et Google, qui stockent d’énormes quantités de données personnelles, sont particulièrement visés. Ils reçoivent collectivement des dizaines de milliers de demandes d’urgence chaque année. Bien que toutes les tentatives frauduleuses ne réussissent pas, les hackers parviennent parfois à obtenir des noms d’utilisateurs, emails, numéros de téléphone et autres informations sensibles sur des utilisateurs ciblés.
Des données exploitées à des fins malveillantes
Les données ainsi obtenues sont ensuite utilisées pour du harcèlement en ligne, du doxing (divulgation d’informations avec intention de nuire), ou pour cibler des individus avec des arnaques financières. Selon un rapport de Bloomberg, ces abus remonteraient à début 2021 et seraient le fait de groupes composés principalement d’adolescents et de jeunes adultes, comme « Recursion Team ». Plus tard, le célèbre groupe de hackers « Lapsus$ », qui a piraté certaines des plus grandes entreprises mondiales comme Uber, aurait aussi eu recours à cette méthode.
Renforcer la cybersécurité et appliquer un esprit critique
Face à cette menace grandissante, le FBI appelle les organisations policières et gouvernementales à renforcer d’urgence leur cybersécurité, en appliquant des mots de passe robustes et l’authentification multi-facteurs pour prévenir les intrusions. Il recommande aussi aux entreprises privées de faire preuve de vigilance et d’esprit critique face à toute demande de données d’urgence, étant donné que les cybercriminels « comprennent la nécessité de l’urgence ».
Cette affaire met en lumière les vulnérabilités du processus des demandes d’urgence, qui peut être détourné à des fins malveillantes. Elle souligne aussi l’importance cruciale pour tous les acteurs, publics comme privés, d’investir en permanence dans leur cybersécurité et de rester en alerte. Dans le combat incessant contre la cybercriminalité, la prévention et la vigilance restent les meilleures armes.
Pour les utilisateurs, quelques bonnes pratiques peuvent aider à se prémunir des risques :
- Utilisez des mots de passe forts et uniques pour chaque compte en ligne
- Activez l’authentification à deux facteurs partout où c’est possible
- Limitez les informations personnelles partagées publiquement sur les réseaux sociaux
- Restez vigilant face à toute demande suspecte d’informations personnelles
Dans le monde hyper-connecté d’aujourd’hui, nos données personnelles sont une ressource précieuse qu’il convient de protéger avec la plus grande attention. Les révélations du FBI sur ces nouvelles méthodes de piratage nous rappellent que la cybersécurité est l’affaire de tous, individuellement et collectivement.
