Verizon dupé par un faux « mandat de perquisition », fournit les données téléphoniques d’une victime à son harceleur

 (arstechnica.com)
1 points par GN⁺ 2023-12-10 | 1 commentaires | Partager sur WhatsApp
  • Verizon a été trompé par un faux policier et un faux mandat de perquisition, et a fourni l’adresse et l’historique d’appels de la victime à son harceleur
  • Le harceleur, Robert Michael Glauner, a été arrêté près du domicile de la victime et portait un couteau au moment de son arrestation
  • Glauner avait entretenu une relation amoureuse en ligne avec la victime, mais a continué à tenter de la contacter après la fin de la relation

Faux policier, fausse signature de juge

  • Glauner a trompé Verizon en envoyant de faux e-mails et un faux mandat de perquisition à l’équipe Verizon Security Assistance Team (VSAT).
  • Verizon n’a pas reconnu que la demande était frauduleuse, alors même que l’e-mail provenait d’une adresse Proton Mail
  • Le mandat de perquisition comportait le nom d’un policier inexistant ainsi qu’une signature de juge falsifiée

Verizon fournit l’adresse et l’historique d’appels

  • Après examen des faux documents, Verizon a transmis à Glauner l’adresse et l’historique d’appels de la victime.
  • Selon le site web de Verizon, le VSAT traite discrètement les demandes légales et respecte toutes les lois applicables
  • Verizon a déclaré coopérer avec les forces de l’ordre dans le cadre de cette affaire

L’avis de GN⁺

Le point le plus important de cet article est que Verizon a été trompé par un faux policier et un faux mandat de perquisition, ce qui l’a conduit à divulguer les informations personnelles d’une victime. Ce type d’affaire met en lumière les enjeux de protection de la vie privée ainsi que les failles dans les systèmes de traitement des demandes légales des entreprises, ce qui peut intéresser de nombreuses personnes. Pour celles et ceux qui s’intéressent à la cybersécurité et à la protection de la vie privée, cette affaire peut servir de cas d’étude important.

À lire aussi

1 commentaires

 
GN⁺ 2023-12-10
Avis Hacker News

  • Il est très facile de falsifier une ordonnance judiciaire

    • Il n’y a aucun moyen pour Verizon ou une autre entreprise de savoir quel formulaire précis est utilisé par plus de 1 700 comtés aux États-Unis
    • Les citations à comparaître fédérales sont standardisées et déposées de manière non publique, ce qui rend la falsification encore plus facile
    • Verizon ne peut pas appeler le greffe pour vérifier si la citation à comparaître a bien été émise
    • Les documents sont imprimés sur du simple papier de copie et ne comportent aucune fonctionnalité de sécurité
    • Il est aussi facile d’intenter une action en petites créances pour obtenir l’émission d’une citation à comparaître
    • Une citation à comparaître au civil prend un peu plus de temps qu’une citation pénale et il faut payer les frais de signification, mais cela ne pose guère de problème

  • Un porte-parole de Verizon a déclaré collaborer avec les forces de l’ordre sur cette affaire

  • Une personne travaillant à temps partiel pour un petit ISP communautaire a eu affaire deux fois au système juridique

    • Lors de la première demande, elle s’est demandé comment vérifier son authenticité
    • La procédure adoptée a consisté à ignorer toutes les coordonnées figurant sur le mandat et à rechercher de nouveaux contacts dans une source fiable (le site officiel de l’État) pour effectuer la vérification
    • Si Verizon avait aussi adopté cette procédure, l’entreprise aurait probablement pu détecter cette affaire

  • Un cas similaire est représenté dans la série TV Mr. Robot

    • Le protagoniste usurpe ou intercepte une ligne de fax du NYPD et falsifie des documents utilisés par le NYPD afin d’obtenir des données auprès d’un opérateur pour retrouver une personne à partir de son numéro de téléphone portable
    • Il envoie le faux fax puis attend une réponse
    • Il utilise un Wi‑Fi public pour rester anonyme et usurpe le numéro de fax du NYPD pour paraître plus authentique

  • La principale façon de vérifier la validité d’une ordonnance signée par un juge consiste à regarder une signature qui peut être facilement falsifiée

  • L’email incluait la signature par défaut de Proton Mail, « Envoyé avec l’email sécurisé Proton Mail »

    • On pourrait ne pas le remarquer dans le champ « expéditeur », mais il est difficile de comprendre comment cela n’a pas déclenché un signal d’alerte
    • Il est possible qu’il soit courant pour la police de gérer ce genre de choses avec des comptes personnels

  • La falsification de ce type de documents est extrêmement courante

    • Elle est combinée à un sentiment d’urgence (question de vie ou de mort), ainsi qu’à des menaces de responsabilité juridique en cas de non-traitement ou d’amendes en cas de divulgation
    • Les avocats doivent désormais décider comment y répondre
    • Ces incidents ne sont que la partie émergée de l’iceberg
    • Comme le coût de falsifier et d’envoyer ces documents est presque nul, cette façon de traiter les mandats n’est absolument pas adaptée à l’ère d’Internet
    • Un nombre suffisant de commissariats ont été piratés pour obtenir des modèles réalistes et parfois même un accès direct aux emails
    • Le rapport coût/bénéfice/risque évolue en faveur des attaquants

  • Au-delà du caractère délirant de l’histoire d’origine, certains sont surpris qu’il s’agisse d’une rencontre faite via la fonction de dating d’un site porno appelé Hamster.com

    • Ils ne savaient pas qu’une fonction de dating sur un site porno pouvait être autre chose qu’une arnaque ou une tentative de phishing

  • Une grande entreprise comme Verizon devrait disposer d’une procédure spécifique pour répondre aux demandes des forces de l’ordre

  • Les emails devraient sans doute être signés avec PGP

  • En réglant la succession de sa mère, une personne a trouvé effrayant à quel point on pouvait causer des dégâts en falsifiant deux simples documents impossibles à vérifier par signature (certificat de décès et certificat d’hérédité)

    • On peut gérer presque tout simplement en envoyant un scan ou une photo par email, ou en ayant une conversation aimable au téléphone
    • Quelques opérations, comme la clôture d’un compte bancaire, exigent une présence physique et une vérification d’identité
    • Il suffit de savoir à quoi ressemblent certains documents pour que le monde soit à vos pieds