Le piratage de 251 sites web d’application de la loi expose les données personnelles de 700 000 flics

Après avoir échoué à prévenir les attaques terroristes du 11 septembre 2001, le gouvernement américain a réalisé qu’il avait un problème de partage d’informations. Les services de police locaux, étatiques et fédéraux disposaient de leurs propres bases de données de surveillance qui auraient pu prévenir les attaques, mais ils n’ont pas communiqué ces informations entre eux. Le Congrès a donc ordonné au nouveau Département de la sécurité intérieure de créer des « centres de fusion » dans tout le pays, des collaborations entre les agences fédérales comme le DHS et le FBI avec les services de police des États et des collectivités locales, afin de partager les renseignements et de prévenir de futures attaques terroristes, rapporte The Intercept.

Pourtant, en 2012, le Sénat a constaté que les centres de fusion n’ont « pas produit de renseignements utiles pour soutenir les efforts fédéraux de lutte contre le terrorisme », que la majorité des rapports produits par les centres de fusion n’avaient aucun lien avec le terrorisme, et que les rapports étaient de mauvaise qualité et souvent ne portaient pas sur des activités illégales. Les centres de fusion ont également été critiqués pour des violations de la vie privée et des libertés civiles telles que l’infiltration et l’espionnage de militants anti-guerre.

Le mois dernier, le collectif de transparence Distributed Denial of Secrets a publié 269 gigaoctets de données relatives à l’application de la loi sur son site web et en utilisant la technologie de partage de fichiers peer-to-peer BitTorrent. Les données, volées sur 251 sites web différents par le collectif de hacktivistes Anonymous, proviennent pour la plupart de sites web de centres de fusion (dont beaucoup figurent sur le site du DHS), bien que certains des sites piratés soient destinés à des services de police locaux, à des organismes de formation de la police, à des associations réservées aux membres de la police ou à des agents du FBI à la retraite, et à des groupes d’application de la loi qui se consacrent spécifiquement aux enquêtes sur la criminalité organisée de détail, le trafic de drogue et la collaboration avec l’industrie.

Après la publication des données de BlueLeaks, Twitter a suspendu définitivement le compte Twitter DDoSecrets, en invoquant une politique contre la distribution de matériel piraté. Twitter a également pris la mesure sans précédent de bloquer tous les liens vers ddosecrets.com, en prétendant faussement, aux utilisateurs qui cliquent que le site web peut être malveillant. Twitter applique ces politiques de manière arbitraire ; par exemple, le compte Twitter de WikiLeaks et les liens vers wikileaks.org sont toujours accessibles malgré la grande quantité de matériel piraté que WikiLeaks a publié. Suivant l’exemple de Twitter, Reddit a interdit le forum r/blueleaks – citant sa politique contre la publication d’informations personnelles – où les utilisateurs discutaient d’articles basés sur des documents ayant fait l’objet d’une fuite et de leurs propres découvertes en fouillant dans les données de BlueLeaks. Les autorités allemandes ont saisi un serveur appartenant à DDoSecrets qui hébergeait les données de BlueLeaks, laissant BitTorrent comme seul moyen de distribution des données par l’organisation.

« Je pense que les interdictions sont de simples tentatives pour ralentir ou arrêter la diffusion de l’information et des nouvelles », a déclaré Emma Best, co-fondatrice de DDoSecrets, à The Intercept. « Le fait que le serveur ait été saisi sans mandat ou ordre judiciaire et reste maintenant inactif pendant que les Allemands débattent de la possibilité de le laisser ou non au FBI souligne simplement la conclusion que la censure et les représailles, et pas seulement l’enquête, sont les forces motrices », ont-ils ajouté.

Tous les sites web piratés ont été hébergés et construits par la société texane de développement web Netsential sur des serveurs Windows situés à Houston. Ils utilisaient tous le même système de gestion de contenu personnalisé (et non sécurisé), développé à l’aide du framework ASP.NET de Microsoft dans le langage de programmation VBScript, en utilisant les bases de données Microsoft Access. Comme ils utilisent tous le même logiciel, si un pirate informatique trouvait une vulnérabilité dans l’un des sites web qui lui permettait de télécharger toutes les données, il pouvait utiliser cette vulnérabilité pour pirater le reste des sites web sans grand effort supplémentaire.

Les données piratées comprennent un grand nombre de documents relatifs à l’application de la loi, dont la plupart datent de 2007 au 14 juin 2020, bien avant la vague de protestations contre la brutalité policière déclenchée par le meurtre de George Floyd à Minneapolis. Les données comprennent également le code source du CMS personnalisé de Netsential – en l’analysant pour cette histoire, j’ai moi-même découvert une vulnérabilité – et le contenu des bases de données que ces sites web utilisaient.

« Netsential peut confirmer que ses serveurs web ont été récemment compromis », a déclaré l’entreprise dans une déclaration sur son site web, qui gère lui-même ce même CMS. « Nous travaillons avec les autorités répressives compétentes concernant cette violation, et nous coopérons pleinement avec l’enquête en cours. Nous avons amélioré nos systèmes et nous continuerons à travailler avec les forces de l’ordre afin d’atténuer les menaces futures. Netsential continuera à travailler avec les clients touchés par l’intrusion. Dans la mesure où il s’agit d’une enquête en cours, et en raison de la sensibilité des informations sur les clients, Netsential ne fera aucune autre déclaration tant que l’affaire sera en cours ».

« C’est un désastre pour les forces de l’ordre du point de vue des relations publiques », a déclaré Phillip Atiba Goff, PDG et co-fondateur du Center for Policing Equity, une organisation qui utilise la science des données pour combattre les préjugés raciaux au sein des services de police américains, lors d’un appel téléphonique crypté. « Il y a pire que ce que nous voyons, il ne s’agit pas seulement de comptes Facebook individuels, mais cela fait partie de la culture du département – cela ne me surprend pas. Cela ne devrait surprendre personne. »

700 000 agents de la force publique exposés

La grande majorité des personnes qui se connectent sur ces sites piratés sont des agents de la force publique, et le CMS de Netsentiel stocke un grand nombre d’informations personnelles sur chaque compte.

Par exemple, le centre régional de renseignement de Californie du Nord possède 29 114 comptes, et chacun d’entre eux comprend un nom complet, un grade, un service ou une agence de police, une adresse électronique, une adresse personnelle, un numéro de téléphone portable, le nom, le grade et l’adresse électronique du superviseur, l’adresse IP utilisée pour créer le compte et un hachage de mot de passe – une représentation cryptographique du mot de passe de l’utilisateur (haché avec 1 000 itérations de PBKDF2 et un sel de 24 octets, si vous êtes ce genre d’intello). Si le mot de passe d’un utilisateur est faible, les pirates ayant accès à son hachage pourraient le craquer pour récupérer le mot de passe original, ce qui pourrait conduire à une liste géante de tous les mots de passe faibles utilisés par les forces de l’ordre américaines.

Ceci provient d’un seul centre de fusion. Les données de BlueLeaks contiennent des informations similaires pour 137 sites web distincts, bien que la plupart aient moins de comptes et que tous les sites web ne contiennent pas toutes ces informations. Certains ne contiennent pas de hachages de mots de passe.

(…)

LIRE LA SUITE DE L’ARTICLE ICI, SUR THE INTERCEPT

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.