Verizon piégé par un faux « mandat de perquisition » fournit les données téléphoniques d’une victime à un harceleur
(arstechnica.com)- Les procédures des opérateurs télécoms pour traiter les demandes des forces de l’ordre ont été contournées : Verizon Wireless a transmis l’adresse et l’historique des appels d’une victime à une personne se faisant passer pour un policier
- Robert Michael Glauner a demandé les informations de la victime avec une adresse Proton Mail et un faux mandat de perquisition, et Verizon n’a pas filtré une demande qui ne provenait pas du domaine d’un commissariat ou d’une agence gouvernementale
- Le document falsifié mentionnait un « Detective Steven Cooper » du commissariat de Cary, inexistant, ainsi que la fausse signature d’un vrai juge, et ne comportait pas non plus le formulaire obligatoire AOC-CR-119 pour les mandats de perquisition en Caroline du Nord
- Après que Verizon a fourni les informations le 5 octobre 2023, Glauner a contacté à plusieurs reprises la famille et le lieu de travail de la victime, et lui a envoyé des messages de menace
- Quand des données sensibles d’abonnés peuvent fuiter à la suite d’une simple demande falsifiée, le cyberharcèlement peut déboucher sur une menace physique
Des informations d’abonné Verizon divulguées via une fausse demande des forces de l’ordre
- Verizon Wireless a fourni l’adresse et les relevés téléphoniques d’une femme victime à Robert Michael Glauner, qui se faisait passer pour un policier
- Glauner a ensuite été arrêté près du domicile de la victime, alors qu’il était en possession d’un couteau
- Il apparaît qu’après avoir obtenu l’adresse de la victime, il s’est rendu du Nouveau-Mexique à Raleigh, en Caroline du Nord
- Avant son arrivée, il a envoyé à la victime le message de menace « if I can’t have you no one can » et est également accusé d’avoir menacé d’envoyer des photos d’elle nue à sa famille
- Glauner a été inculpé devant le tribunal fédéral du district Est de Caroline du Nord pour harcèlement et fraude « liée à l’obtention de relevés téléphoniques confidentiels »
- L’affaire avait été couverte auparavant par 404 Media
Des contacts persistants après la fin d’une relation en ligne
- Glauner et la victime se sont rencontrés en août ou septembre 2023 sur xhamster.com, un site pornographique doté d’une fonction de rencontre, et ont entretenu une relation amoureuse en ligne
- Même après que la victime a mis fin à la relation, Glauner a continué à la contacter ou à tenter de le faire
- La demande envoyée à Verizon a été adressée à
vsat.cct@one.verizon.com, l’adresse e-mail de la Verizon Security Assistance Team (VSAT) - La VSAT est l’organisation qui traite les demandes légales, et le site de Verizon indique que les exigences légales, comme les ordonnances judiciaires, mandats de perquisition et assignations, sont traitées de manière confidentielle et conformément aux lois applicables
- La même page indique que la VSAT n’accepte, pour les demandes de relevés, que des exigences légales valides
Faux policier et mandat de perquisition falsifié
- Le 26 septembre 2023, un e-mail a été envoyé à Verizon depuis l’adresse
steven1966c@proton.me- L’e-mail indiquait qu’un mandat de perquisition au format PDF était joint et que des données de téléphone mobile étaient nécessaires « pour localiser et arrêter un suspect »
- Il demandait aussi le nom complet de l’abonnée Verizon victime et son nouveau numéro de téléphone attribué
- Le document joint contenait une fausse déclaration sous serment présentée comme ayant été rédigée par le « Detective Steven Cooper » du commissariat de Cary, en Caroline du Nord
- Le commissariat de Cary a confirmé qu’aucun policier nommé Steven Cooper n’y travaillait
- Le même jour, la VSAT a reçu un appel d’un homme se présentant comme Cooper
- Il a déclaré avoir besoin d’informations sur un suspect dans une affaire de meurtre
- Il a également indiqué que la personne concernée avait changé de numéro de téléphone
- La fausse déclaration demandait le nouveau numéro de téléphone, l’historique des appels entrants et sortants, les données de localisation, ainsi que les SMS reçus et envoyés
- Le document indiquait que la juge de la Superior Court Gale Adams avait approuvé le mandat de perquisition
- Adams est une vraie juge, mais elle a confirmé que la signature figurant sur le document n’était pas la sienne
- Ce « mandat de perquisition » ne comportait pas non plus le formulaire AOC-CR-119 requis pour les mandats de perquisition de l’État de Caroline du Nord
Les données fournies par Verizon et les nouvelles demandes qui ont suivi
- Après avoir examiné l’e-mail et les documents envoyés par « Cooper », Verizon a fourni les relevés téléphoniques de la victime le 5 octobre 2023
- Les relevés fournis comprenaient l’adresse et l’historique des appels
- Verizon n’a pas répondu immédiatement aux questions sur cette affaire, et un porte-parole de Verizon a déclaré à 404 Media que l’entreprise coopérait avec les forces de l’ordre
- Le 9 octobre, la VSAT a de nouveau reçu un appel de « l’Officer Cooper »
- L’appelant a demandé comment lire les données
- L’enregistrement de l’appel confirme que Glauner avait reçu les relevés de Verizon Wireless
- L’appelant a déclaré que l’abonnée avait changé de numéro de téléphone et qu’il avait obtenu son nouveau numéro
- Il reste possible qu’à ce moment-là, Glauner n’ait pas réellement obtenu le nouveau numéro de téléphone
- La VSAT a continué à recevoir ensuite des e-mails demandant le numéro de la victime et d’autres informations
- Un autre « mandat de perquisition » demandait les coordonnées GPS du numéro ainsi que toutes les photos envoyées et reçues
Des contacts étendus à la famille et au lieu de travail de la victime
- Le 13 octobre 2023, la mère de la victime a reçu un message vocal de Glauner indiquant qu’il cherchait à joindre la victime
- Du 13 au 22 octobre, la mère de la victime a reçu 10 messages vocaux de Glauner
- Les messages indiquaient qu’il ne s’arrêterait pas tant qu’il n’aurait pas pu contacter la victime
- Le 16 octobre, le père de la victime a reçu un message contenant une photo de la victime et le texte « Do you know this girl? »
- Il apparaît que Glauner a également appelé à plusieurs reprises l’entreprise de Raleigh où travaillait la victime
- Le 15 octobre, un appel d’urgence demandant une vérification de bien-être à ce qui semblait être l’adresse de la victime a été passé, et les policiers dépêchés sur place ont estimé que le signalement était faux
- Le 23 octobre, la police a obtenu un mandat de perquisition visant le compte Google associé au numéro de téléphone utilisé par « Officer Cooper » pour contacter Verizon
- La police a également confirmé que Glauner faisait l’objet d’un avis de recherche du San Diego Sheriff’s Office pour harcèlement de son ex-petite amie
- Le rapport de police de l’affaire californienne indique que la victime avait « changé de numéro de téléphone 4 fois au cours des 4 derniers mois, mais que Glauner parvenait malgré tout à retrouver son numéro »
Arrêté peu après son arrivée en Caroline du Nord
- Le 26 octobre, la victime en Caroline du Nord a pris un Tracphone pour réduire les appels reçus par ses amis, sa famille et son employeur, puis a communiqué ce numéro à Glauner
- Le 5 novembre, la victime a indiqué avoir reçu des messages disant que Glauner se rendait en Caroline du Nord
- Un long SMS mentionnait son intention de se procurer une arme à feu et des munitions, ainsi que la menace « if I can’t have you no one can »
- Craignant pour sa vie et sa sécurité, la victime a transmis aux forces de l’ordre les informations de localisation de Glauner, qui se déplaçait du Nouveau-Mexique vers Raleigh
- Le 6 novembre, la police a obtenu un mandat d’arrêt contre Glauner
- Les chefs retenus étaient extorsion pour avoir menacé de divulguer des images de la victime nue à sa famille, harcèlement, cyberharcèlement et communications menaçantes
- La police a surveillé l’adresse vers laquelle Glauner se dirigeait pendant que la victime et sa famille avaient quitté le domicile pour la soirée
- Glauner est arrivé vers 21 h le 6 novembre à bord d’une Jeep Cherokee immatriculée au Nouveau-Mexique, puis a été arrêté
- Il s’est arrêté juste devant l’adresse, puis est entré dans le jardin d’une maison voisine et s’est tenu dans l’obscurité
- Lors de la fouille à l’arrestation, un couteau noir pliant à lame de rasoir et deux téléphones mobiles ont été découverts
- L’écran de verrouillage d’un des téléphones affichait une image de la victime, et une notification de SMS provenant de « Victim 1 » était visible à l’écran
- La fouille de la Jeep Cherokee a permis de découvrir une pipe à méthamphétamine en verre, 8 g d’une substance soupçonnée d’être de la méthamphétamine, ainsi que deux lots de cordes neuves encore emballées dans du plastique
- En plus des charges retenues en Caroline du Nord, Glauner a été inculpé comme Fugitive from Justice en raison d’un mandat en cours en Californie, et détenu à la Wake County Jail avec une caution fixée à 550 000 dollars
1 commentaires
Avis de Hacker News
Falsifier une ordonnance judiciaire est très facile. Verizon, ou n’importe quel autre opérateur, n’a aucun moyen de connaître le formulaire utilisé par tel ou tel comté parmi les plus de 1 700 comtés des États-Unis.
Les citations à comparaître fédérales sont encore plus simples, car le formulaire est uniformisé et elles sont déposées sous scellés. Verizon ne peut pas appeler le greffe du tribunal pour demander : « Le grand jury a-t-il vraiment émis cette citation ? », et le document est sur du simple papier de photocopie, sans dispositif de sécurité. J’ai l’impression que ce genre de cas va se multiplier à mesure que cela se sait. Il est aussi assez facile d’intenter une action devant la juridiction des petits litiges pour obtenir une citation à comparaître, et en général personne ne va se mobiliser pour la faire annuler. Une citation civile prend un peu plus de temps qu’une citation pénale et il faut aussi payer les frais de signification, mais ce n’est pas un obstacle majeur.
Cela arrive aussi dans le secteur médical et, comme les sanctions sont bien plus lourdes en cas de réponse à une fausse demande, le personnel médical est formé à effectuer ce type de vérification. La HIPAA ne fait pas d’exception au motif qu’on s’est laissé piéger en divulguant des informations couvertes par la HIPAA.
https://www.hipaaexams.com/blog/medical-record-subpoena
Autrement dit, une ordonnance officielle demandant à un opérateur de transmettre des données de communications privées est remise sous forme de pigments déposés sur une fine couche de pulpe de bois, et non sous forme de fichier signé numériquement, facilement vérifiable avec la clé publique de l’organisme émetteur ?
Il y a toujours quelqu’un qui peut demander l’annulation d’une citation : le destinataire lui-même. En général, le destinataire et la partie adverse peuvent le faire. Pour les citations fédérales, les règles de procédure d’annulation sont indiquées directement sur la citation.
https://www.uscourts.gov/sites/default/files/ao088b.pdf
Par ailleurs, il existe énormément de lois et de jurisprudence susceptibles de s’appliquer à l’obtention de relevés téléphoniques. Selon ce qui est demandé, une citation peut même ne pas être nécessaire.
J’aimerais aussi que le numéro d’identification et les principaux détails soient vérifiables, mais je ne peux pas l’affirmer avec certitude, car je connais le système juridique allemand, pas américain.
Je ne sais pas comment Verizon traite cela en interne, mais j’ai un ami qui travaille dans l’« équipe de réponse aux demandes des forces de l’ordre » d’une des FAANG. Cette entreprise reçoit un très grand nombre de demandes légales de divulgation d’informations, beaucoup de fausses demandes, ainsi que des demandes provenant de véritables organismes publics mais suffisamment suspectes pour être contestées. Elle dispose donc de procédures et de techniques très fines pour y répondre. Verizon est le plus grand opérateur mobile des États-Unis ; il devrait avoir les compétences nécessaires pour ne pas donner l’impression d’un spectacle totalement amateur dans ce domaine.
Le fait que Verizon ait ressorti tel quel sa réponse toute faite du genre « nous coopérons avec les forces de l’ordre dans cette affaire » aurait peut-être mérité d’être un peu adapté cette fois-ci.
Ce n’est pas vraiment drôle, mais c’est quand même assez cocasse. Je travaille en parallèle pour un petit FAI local et j’ai déjà traité deux demandes légales. La première fois, nous nous sommes demandé comment l’authentifier, et notre procédure est devenue la suivante : ignorer toutes les coordonnées indiquées sur le mandat, chercher de nouvelles coordonnées auprès d’une source fiable, puis appeler pour vérifier. Les deux fois, nous les avons trouvées sur le site officiel de l’État. Si Verizon avait utilisé cette procédure, cette affaire aurait probablement été détectée, puisque le Cary Police Department a confirmé qu’il n’existait pas d’agent nommé Steven Cooper.
Il est étonnant que le principal moyen de vérifier qu’une ordonnance a été approuvée par un juge soit une vérification de signature facile à falsifier.
Beaucoup de stalkers commettent des actes vraiment terrifiants sans pour autant écoper d’une peine ferme. Cela dit, les différences entre États sont importantes et, étonnamment, ce n’est pas un crime grave dans tous les États ; dans au moins l’un d’eux, il faut avoir l’intention de tirer avantage de l’autorité ainsi usurpée pour que ce soit qualifié de crime grave.
Il suffirait d’un papier avec un mot de passe permettant de retrouver les informations d’authentification sur le site du tribunal, d’un e-mail, ou même d’un numéro de téléphone ou d’une adresse e-mail automatisés permettant une vérification en ligne.
J’ai un vague souvenir d’une scène similaire dans la série TV Mr. Robot.
Le personnage devait retrouver une personne d’intérêt à partir de son numéro de téléphone, et il me semble qu’il usurpait ou interceptait la ligne fax du NYPD. Il falsifiait les documents utilisés par le NYPD pour obtenir des données auprès des opérateurs, les envoyait par fax, puis attendait la réponse. C’est clairement plus élégant que d’envoyer de faux documents depuis une adresse Proton Mail, mais au fond c’est la même méthode.
Trouvé : https://youtu.be/AdHE5Nss4HI?si=b4Et34pHKx8p1uP9
En le regardant, on dirait qu’il utilise un Wi-Fi public pour préserver son anonymat et usurpe le numéro de fax du NYPD pour paraître plus crédible. Il faut que je revoie cette série.
Je suis surpris que l’e-mail contienne même la signature par défaut de Proton, « sent with Proton Mail secure email ». À la rigueur, on peut admettre qu’ils ne l’aient pas remarqué dans le champ expéditeur, mais il est difficile de comprendre pourquoi cela n’a pas été vu comme un signal d’alerte.
Même si la réponse est que la police utilise couramment des comptes personnels pour ce genre de choses, ce ne serait pas si surprenant.
Indépendamment du caractère absurde de l’affaire elle-même, ce qui m’a le plus surpris, c’est le passage indiquant que la victime et Glauner se sont rencontrés sur hamster.com, un site porno doté d’une fonctionnalité de rencontre, et ont entamé une relation amoureuse en ligne.
Je ne savais pas qu’une fonctionnalité de rencontre sur un site porno pouvait ne pas être, en soi, une tentative d’arnaque ou de phishing.
Ce genre de falsification est très courant.
C’est particulièrement efficace quand on y ajoute un sentiment d’urgence — une question de vie ou de mort —, qu’on mentionne les lois et sanctions applicables si la demande n’est pas traitée rapidement, et qu’on ajoute même les lois et sanctions liées à une interdiction de divulgation. Ensuite, un pauvre juriste doit décider quoi faire. Les affaires rendues publiques ne sont que la partie émergée de l’iceberg, et l’ampleur réelle est à estimer bien plus haut.
On peut être tenté de blâmer Verizon ou d’autres organisations, mais le vrai problème est que la manière dont ces mandats sont traités n’est plus du tout adaptée à l’ère d’Internet. La falsification étant en général un crime, l’envoi de mandats par courrier papier offrait une certaine sécurité, car on pouvait remonter jusqu’au criminel grâce à l’adresse de retour et à d’autres éléments. Mais sur Internet, la situation change. Quelqu’un situé dans un autre pays, ou presque anonyme, peut falsifier et envoyer un mandat pour un coût quasiment nul. Des formulaires réalistes peuvent facilement être obtenus auprès d’un commissariat piraté, et parfois même avec un accès aux e-mails. L’équilibre coût/bénéfice/risque s’est déplacé en faveur de l’attaquant, et le fait que la plupart des pays cherchent à traiter ce type de demandes plus rapidement n’aide pas.
À l’avenir, à cause de l’IA, les criminels pourront falsifier tous les aspects de ce genre d’arnaque avec un réalisme difficile à croire.
Cela inclura les formulaires, de fausses facultés de droit, de faux sites d’écoles, de faux sites juridiques, de faux avis, etc. Il faudra de plus en plus de ressources pour vérifier même le moindre détail.
C’est pour cette raison qu’on vous regarde de travers quand vous dites que vous ne voulez pas transmettre des informations personnelles.
On dirait que ce type d’e-mail devrait être accompagné d’une signature PGP.
Si l’on parlait de S/MIME, il y aurait l’infrastructure d’autorités de certification X.509, et ce serait effectivement logique. Mais PGP, avec son réseau de confiance (WoT), est ici un outil totalement inadapté.