1 points par GN⁺ 2023-12-10 | 1 commentaires | Partager sur WhatsApp
  • Les procédures des opérateurs télécoms pour traiter les demandes des forces de l’ordre ont été contournées : Verizon Wireless a transmis l’adresse et l’historique des appels d’une victime à une personne se faisant passer pour un policier
  • Robert Michael Glauner a demandé les informations de la victime avec une adresse Proton Mail et un faux mandat de perquisition, et Verizon n’a pas filtré une demande qui ne provenait pas du domaine d’un commissariat ou d’une agence gouvernementale
  • Le document falsifié mentionnait un « Detective Steven Cooper » du commissariat de Cary, inexistant, ainsi que la fausse signature d’un vrai juge, et ne comportait pas non plus le formulaire obligatoire AOC-CR-119 pour les mandats de perquisition en Caroline du Nord
  • Après que Verizon a fourni les informations le 5 octobre 2023, Glauner a contacté à plusieurs reprises la famille et le lieu de travail de la victime, et lui a envoyé des messages de menace
  • Quand des données sensibles d’abonnés peuvent fuiter à la suite d’une simple demande falsifiée, le cyberharcèlement peut déboucher sur une menace physique

Des informations d’abonné Verizon divulguées via une fausse demande des forces de l’ordre

  • Verizon Wireless a fourni l’adresse et les relevés téléphoniques d’une femme victime à Robert Michael Glauner, qui se faisait passer pour un policier
  • Glauner a ensuite été arrêté près du domicile de la victime, alors qu’il était en possession d’un couteau
  • Il apparaît qu’après avoir obtenu l’adresse de la victime, il s’est rendu du Nouveau-Mexique à Raleigh, en Caroline du Nord
  • Avant son arrivée, il a envoyé à la victime le message de menace « if I can’t have you no one can » et est également accusé d’avoir menacé d’envoyer des photos d’elle nue à sa famille
  • Glauner a été inculpé devant le tribunal fédéral du district Est de Caroline du Nord pour harcèlement et fraude « liée à l’obtention de relevés téléphoniques confidentiels »
  • L’affaire avait été couverte auparavant par 404 Media

Des contacts persistants après la fin d’une relation en ligne

  • Glauner et la victime se sont rencontrés en août ou septembre 2023 sur xhamster.com, un site pornographique doté d’une fonction de rencontre, et ont entretenu une relation amoureuse en ligne
  • Même après que la victime a mis fin à la relation, Glauner a continué à la contacter ou à tenter de le faire
  • La demande envoyée à Verizon a été adressée à vsat.cct@one.verizon.com, l’adresse e-mail de la Verizon Security Assistance Team (VSAT)
  • La VSAT est l’organisation qui traite les demandes légales, et le site de Verizon indique que les exigences légales, comme les ordonnances judiciaires, mandats de perquisition et assignations, sont traitées de manière confidentielle et conformément aux lois applicables
  • La même page indique que la VSAT n’accepte, pour les demandes de relevés, que des exigences légales valides

Faux policier et mandat de perquisition falsifié

  • Le 26 septembre 2023, un e-mail a été envoyé à Verizon depuis l’adresse steven1966c@proton.me
    • L’e-mail indiquait qu’un mandat de perquisition au format PDF était joint et que des données de téléphone mobile étaient nécessaires « pour localiser et arrêter un suspect »
    • Il demandait aussi le nom complet de l’abonnée Verizon victime et son nouveau numéro de téléphone attribué
  • Le document joint contenait une fausse déclaration sous serment présentée comme ayant été rédigée par le « Detective Steven Cooper » du commissariat de Cary, en Caroline du Nord
    • Le commissariat de Cary a confirmé qu’aucun policier nommé Steven Cooper n’y travaillait
  • Le même jour, la VSAT a reçu un appel d’un homme se présentant comme Cooper
    • Il a déclaré avoir besoin d’informations sur un suspect dans une affaire de meurtre
    • Il a également indiqué que la personne concernée avait changé de numéro de téléphone
  • La fausse déclaration demandait le nouveau numéro de téléphone, l’historique des appels entrants et sortants, les données de localisation, ainsi que les SMS reçus et envoyés
  • Le document indiquait que la juge de la Superior Court Gale Adams avait approuvé le mandat de perquisition
    • Adams est une vraie juge, mais elle a confirmé que la signature figurant sur le document n’était pas la sienne
    • Ce « mandat de perquisition » ne comportait pas non plus le formulaire AOC-CR-119 requis pour les mandats de perquisition de l’État de Caroline du Nord

Les données fournies par Verizon et les nouvelles demandes qui ont suivi

  • Après avoir examiné l’e-mail et les documents envoyés par « Cooper », Verizon a fourni les relevés téléphoniques de la victime le 5 octobre 2023
    • Les relevés fournis comprenaient l’adresse et l’historique des appels
  • Verizon n’a pas répondu immédiatement aux questions sur cette affaire, et un porte-parole de Verizon a déclaré à 404 Media que l’entreprise coopérait avec les forces de l’ordre
  • Le 9 octobre, la VSAT a de nouveau reçu un appel de « l’Officer Cooper »
    • L’appelant a demandé comment lire les données
    • L’enregistrement de l’appel confirme que Glauner avait reçu les relevés de Verizon Wireless
    • L’appelant a déclaré que l’abonnée avait changé de numéro de téléphone et qu’il avait obtenu son nouveau numéro
  • Il reste possible qu’à ce moment-là, Glauner n’ait pas réellement obtenu le nouveau numéro de téléphone
    • La VSAT a continué à recevoir ensuite des e-mails demandant le numéro de la victime et d’autres informations
    • Un autre « mandat de perquisition » demandait les coordonnées GPS du numéro ainsi que toutes les photos envoyées et reçues

Des contacts étendus à la famille et au lieu de travail de la victime

  • Le 13 octobre 2023, la mère de la victime a reçu un message vocal de Glauner indiquant qu’il cherchait à joindre la victime
  • Du 13 au 22 octobre, la mère de la victime a reçu 10 messages vocaux de Glauner
    • Les messages indiquaient qu’il ne s’arrêterait pas tant qu’il n’aurait pas pu contacter la victime
  • Le 16 octobre, le père de la victime a reçu un message contenant une photo de la victime et le texte « Do you know this girl? »
  • Il apparaît que Glauner a également appelé à plusieurs reprises l’entreprise de Raleigh où travaillait la victime
  • Le 15 octobre, un appel d’urgence demandant une vérification de bien-être à ce qui semblait être l’adresse de la victime a été passé, et les policiers dépêchés sur place ont estimé que le signalement était faux
  • Le 23 octobre, la police a obtenu un mandat de perquisition visant le compte Google associé au numéro de téléphone utilisé par « Officer Cooper » pour contacter Verizon
  • La police a également confirmé que Glauner faisait l’objet d’un avis de recherche du San Diego Sheriff’s Office pour harcèlement de son ex-petite amie
    • Le rapport de police de l’affaire californienne indique que la victime avait « changé de numéro de téléphone 4 fois au cours des 4 derniers mois, mais que Glauner parvenait malgré tout à retrouver son numéro »

Arrêté peu après son arrivée en Caroline du Nord

  • Le 26 octobre, la victime en Caroline du Nord a pris un Tracphone pour réduire les appels reçus par ses amis, sa famille et son employeur, puis a communiqué ce numéro à Glauner
  • Le 5 novembre, la victime a indiqué avoir reçu des messages disant que Glauner se rendait en Caroline du Nord
    • Un long SMS mentionnait son intention de se procurer une arme à feu et des munitions, ainsi que la menace « if I can’t have you no one can »
  • Craignant pour sa vie et sa sécurité, la victime a transmis aux forces de l’ordre les informations de localisation de Glauner, qui se déplaçait du Nouveau-Mexique vers Raleigh
  • Le 6 novembre, la police a obtenu un mandat d’arrêt contre Glauner
    • Les chefs retenus étaient extorsion pour avoir menacé de divulguer des images de la victime nue à sa famille, harcèlement, cyberharcèlement et communications menaçantes
  • La police a surveillé l’adresse vers laquelle Glauner se dirigeait pendant que la victime et sa famille avaient quitté le domicile pour la soirée
  • Glauner est arrivé vers 21 h le 6 novembre à bord d’une Jeep Cherokee immatriculée au Nouveau-Mexique, puis a été arrêté
    • Il s’est arrêté juste devant l’adresse, puis est entré dans le jardin d’une maison voisine et s’est tenu dans l’obscurité
    • Lors de la fouille à l’arrestation, un couteau noir pliant à lame de rasoir et deux téléphones mobiles ont été découverts
    • L’écran de verrouillage d’un des téléphones affichait une image de la victime, et une notification de SMS provenant de « Victim 1 » était visible à l’écran
  • La fouille de la Jeep Cherokee a permis de découvrir une pipe à méthamphétamine en verre, 8 g d’une substance soupçonnée d’être de la méthamphétamine, ainsi que deux lots de cordes neuves encore emballées dans du plastique
  • En plus des charges retenues en Caroline du Nord, Glauner a été inculpé comme Fugitive from Justice en raison d’un mandat en cours en Californie, et détenu à la Wake County Jail avec une caution fixée à 550 000 dollars

1 commentaires

 
GN⁺ 2023-12-10
Avis de Hacker News
  • Falsifier une ordonnance judiciaire est très facile. Verizon, ou n’importe quel autre opérateur, n’a aucun moyen de connaître le formulaire utilisé par tel ou tel comté parmi les plus de 1 700 comtés des États-Unis.
    Les citations à comparaître fédérales sont encore plus simples, car le formulaire est uniformisé et elles sont déposées sous scellés. Verizon ne peut pas appeler le greffe du tribunal pour demander : « Le grand jury a-t-il vraiment émis cette citation ? », et le document est sur du simple papier de photocopie, sans dispositif de sécurité. J’ai l’impression que ce genre de cas va se multiplier à mesure que cela se sait. Il est aussi assez facile d’intenter une action devant la juridiction des petits litiges pour obtenir une citation à comparaître, et en général personne ne va se mobiliser pour la faire annuler. Une citation civile prend un peu plus de temps qu’une citation pénale et il faut aussi payer les frais de signification, mais ce n’est pas un obstacle majeur.

    • Verizon peut effectivement appeler pour vérifier. Une citation à comparaître doit comporter des coordonnées, et Verizon peut vérifier que ces coordonnées sont légitimes, puis contacter directement l’interlocuteur pour confirmer l’authenticité de la citation.
      Cela arrive aussi dans le secteur médical et, comme les sanctions sont bien plus lourdes en cas de réponse à une fausse demande, le personnel médical est formé à effectuer ce type de vérification. La HIPAA ne fait pas d’exception au motif qu’on s’est laissé piéger en divulguant des informations couvertes par la HIPAA.
      https://www.hipaaexams.com/blog/medical-record-subpoena
    • Attendez, vous voulez dire que ce genre d’ordonnance arrive vraiment sous forme de document papier imprimé ?
      Autrement dit, une ordonnance officielle demandant à un opérateur de transmettre des données de communications privées est remise sous forme de pigments déposés sur une fine couche de pulpe de bois, et non sous forme de fichier signé numériquement, facilement vérifiable avec la clé publique de l’organisme émetteur ?
    • Je ne sais pas qui a décidé que « Verizon ne peut pas appeler le greffe du tribunal pour demander : “Le grand jury a-t-il vraiment émis cette citation ?” ». Je ne connais aucune règle ni aucune loi interdisant au destinataire d’une citation de vérifier sa légalité auprès du tribunal.
      Il y a toujours quelqu’un qui peut demander l’annulation d’une citation : le destinataire lui-même. En général, le destinataire et la partie adverse peuvent le faire. Pour les citations fédérales, les règles de procédure d’annulation sont indiquées directement sur la citation.
      https://www.uscourts.gov/sites/default/files/ao088b.pdf
      Par ailleurs, il existe énormément de lois et de jurisprudence susceptibles de s’appliquer à l’obtention de relevés téléphoniques. Selon ce qui est demandé, une citation peut même ne pas être nécessaire.
    • Un mandat de perquisition n’est pas une citation à comparaître sous scellés, et on devrait au minimum toujours pouvoir vérifier que la personne qui l’a émis existe réellement et dispose de cette autorité.
      J’aimerais aussi que le numéro d’identification et les principaux détails soient vérifiables, mais je ne peux pas l’affirmer avec certitude, car je connais le système juridique allemand, pas américain.
    • Dire qu’il est facile de falsifier une ordonnance judiciaire revient un peu à dire qu’il est facile de falsifier une lettre d’arnaque au prince nigérian. Verizon devrait avoir profondément honte de cette affaire. La demande initiale venait d’un compte Proton, avec des fautes d’orthographe et des erreurs de grammaire enfantines.
      Je ne sais pas comment Verizon traite cela en interne, mais j’ai un ami qui travaille dans l’« équipe de réponse aux demandes des forces de l’ordre » d’une des FAANG. Cette entreprise reçoit un très grand nombre de demandes légales de divulgation d’informations, beaucoup de fausses demandes, ainsi que des demandes provenant de véritables organismes publics mais suffisamment suspectes pour être contestées. Elle dispose donc de procédures et de techniques très fines pour y répondre. Verizon est le plus grand opérateur mobile des États-Unis ; il devrait avoir les compétences nécessaires pour ne pas donner l’impression d’un spectacle totalement amateur dans ce domaine.
  • Le fait que Verizon ait ressorti tel quel sa réponse toute faite du genre « nous coopérons avec les forces de l’ordre dans cette affaire » aurait peut-être mérité d’être un peu adapté cette fois-ci.
    Ce n’est pas vraiment drôle, mais c’est quand même assez cocasse. Je travaille en parallèle pour un petit FAI local et j’ai déjà traité deux demandes légales. La première fois, nous nous sommes demandé comment l’authentifier, et notre procédure est devenue la suivante : ignorer toutes les coordonnées indiquées sur le mandat, chercher de nouvelles coordonnées auprès d’une source fiable, puis appeler pour vérifier. Les deux fois, nous les avons trouvées sur le site officiel de l’État. Si Verizon avait utilisé cette procédure, cette affaire aurait probablement été détectée, puisque le Cary Police Department a confirmé qu’il n’existait pas d’agent nommé Steven Cooper.

    • Émettre un faux mandat de perquisition est probablement un crime ; Verizon coopère donc sans doute bien avec les forces de l’ordre à ce sujet.
  • Il est étonnant que le principal moyen de vérifier qu’une ordonnance a été approuvée par un juge soit une vérification de signature facile à falsifier.

    • Rien que le fait de falsifier la signature d’un juge peut valoir une peine de prison. Dans la plupart des États, se faire passer pour un policier aussi. En utilisant cette méthode pour retrouver des femmes, ce stalker a en pratique signé lui-même son ticket pour la prison.
      Beaucoup de stalkers commettent des actes vraiment terrifiants sans pour autant écoper d’une peine ferme. Cela dit, les différences entre États sont importantes et, étonnamment, ce n’est pas un crime grave dans tous les États ; dans au moins l’un d’eux, il faut avoir l’intention de tirer avantage de l’autorité ainsi usurpée pour que ce soit qualifié de crime grave.
    • Cela ressemble à une responsabilité de l’État. Dans presque tous les autres domaines un tant soit peu importants, on utilise des systèmes d’authentification meilleurs et plus avancés, mais les gouvernements du monde entier s’appuient encore sur des signatures.
      Il suffirait d’un papier avec un mot de passe permettant de retrouver les informations d’authentification sur le site du tribunal, d’un e-mail, ou même d’un numéro de téléphone ou d’une adresse e-mail automatisés permettant une vérification en ligne.
  • J’ai un vague souvenir d’une scène similaire dans la série TV Mr. Robot.
    Le personnage devait retrouver une personne d’intérêt à partir de son numéro de téléphone, et il me semble qu’il usurpait ou interceptait la ligne fax du NYPD. Il falsifiait les documents utilisés par le NYPD pour obtenir des données auprès des opérateurs, les envoyait par fax, puis attendait la réponse. C’est clairement plus élégant que d’envoyer de faux documents depuis une adresse Proton Mail, mais au fond c’est la même méthode.
    Trouvé : https://youtu.be/AdHE5Nss4HI?si=b4Et34pHKx8p1uP9
    En le regardant, on dirait qu’il utilise un Wi-Fi public pour préserver son anonymat et usurpe le numéro de fax du NYPD pour paraître plus crédible. Il faut que je revoie cette série.

  • Je suis surpris que l’e-mail contienne même la signature par défaut de Proton, « sent with Proton Mail secure email ». À la rigueur, on peut admettre qu’ils ne l’aient pas remarqué dans le champ expéditeur, mais il est difficile de comprendre pourquoi cela n’a pas été vu comme un signal d’alerte.
    Même si la réponse est que la police utilise couramment des comptes personnels pour ce genre de choses, ce ne serait pas si surprenant.

    • J’ai travaillé à côté du bureau de l’équipe chargée des contacts avec les forces de l’ordre chez un opérateur télécom, donc j’ai entendu beaucoup d’appels et de conversations. C’étaient tous d’anciens policiers, et ils avaient une très forte tendance à transmettre tout ce qu’on leur demandait. Pour être honnête, ils n’étaient pas non plus très perspicaces.
    • Kevin Mitnick nous a appris il y a des décennies que, dans n’importe quel environnement, le maillon le plus faible, ce sont les humains. L’ingénierie sociale est bien plus facile qu’on ne l’imagine.
    • Cela veut peut-être aussi dire que personne ne lit ni ne regarde jamais les signatures d’e-mail.
    • Il est aussi possible que cela ait été fait exprès pour écarter les agents les plus vigilants sur la sécurité.
  • Indépendamment du caractère absurde de l’affaire elle-même, ce qui m’a le plus surpris, c’est le passage indiquant que la victime et Glauner se sont rencontrés sur hamster.com, un site porno doté d’une fonctionnalité de rencontre, et ont entamé une relation amoureuse en ligne.
    Je ne savais pas qu’une fonctionnalité de rencontre sur un site porno pouvait ne pas être, en soi, une tentative d’arnaque ou de phishing.

    • Certains créateurs de contenu OF utilisent ce type de plateforme pour promouvoir leur contenu.
  • Ce genre de falsification est très courant.
    C’est particulièrement efficace quand on y ajoute un sentiment d’urgence — une question de vie ou de mort —, qu’on mentionne les lois et sanctions applicables si la demande n’est pas traitée rapidement, et qu’on ajoute même les lois et sanctions liées à une interdiction de divulgation. Ensuite, un pauvre juriste doit décider quoi faire. Les affaires rendues publiques ne sont que la partie émergée de l’iceberg, et l’ampleur réelle est à estimer bien plus haut.
    On peut être tenté de blâmer Verizon ou d’autres organisations, mais le vrai problème est que la manière dont ces mandats sont traités n’est plus du tout adaptée à l’ère d’Internet. La falsification étant en général un crime, l’envoi de mandats par courrier papier offrait une certaine sécurité, car on pouvait remonter jusqu’au criminel grâce à l’adresse de retour et à d’autres éléments. Mais sur Internet, la situation change. Quelqu’un situé dans un autre pays, ou presque anonyme, peut falsifier et envoyer un mandat pour un coût quasiment nul. Des formulaires réalistes peuvent facilement être obtenus auprès d’un commissariat piraté, et parfois même avec un accès aux e-mails. L’équilibre coût/bénéfice/risque s’est déplacé en faveur de l’attaquant, et le fait que la plupart des pays cherchent à traiter ce type de demandes plus rapidement n’aide pas.

  • À l’avenir, à cause de l’IA, les criminels pourront falsifier tous les aspects de ce genre d’arnaque avec un réalisme difficile à croire.
    Cela inclura les formulaires, de fausses facultés de droit, de faux sites d’écoles, de faux sites juridiques, de faux avis, etc. Il faudra de plus en plus de ressources pour vérifier même le moindre détail.

  • C’est pour cette raison qu’on vous regarde de travers quand vous dites que vous ne voulez pas transmettre des informations personnelles.

  • On dirait que ce type d’e-mail devrait être accompagné d’une signature PGP.

    • Comment établir qu’une clé PGP donnée est utilisée par une partie autorisée, avec des qualifications officielles et dans un but légitime ?
      Si l’on parlait de S/MIME, il y aurait l’infrastructure d’autorités de certification X.509, et ce serait effectivement logique. Mais PGP, avec son réseau de confiance (WoT), est ici un outil totalement inadapté.
    • Le modèle de confiance de PGP est dépassé, et il est très probable qu’il n’aurait pas été d’une grande aide dans ce cas.