La publication d’un mandat obtenu en aot par le FBI a rvl comment l’agence fdrale amricaine a infiltr des centaines de milliers d’ordinateurs dans le monde prtendument pour dmanteler l’infrastructure du rseau de maliciels Qakbot (aussi appel Qbot, ou Pinkslipbot). Grce ce mandat, le FBI est parvenu pntrer plus de 700 000 ordinateurs dans le monde pour liminer de prsums programmes malveillants installs par Qakbot. Les victimes n’ont pas t informes que leurs appareils ont t rpars ou qu’ils ont t compromis. Ce geste suscite la controverse et pose la question de savoir si le dmantlement d’un rseau de botnets justifie cette forme d’intrusion.
Il y a environ deux semaines, le FBI a annonc avoir dmantel l’infrastructure de Qakbot dans le cadre d’une opration de porte internationale. Pour mmoire, Qakbot est un lment majeur de l’cosystme de la cybercriminalit et est responsable de milliers d’infections par des maliciels dans le monde entier. Qakbot existe depuis 2008 et a t le prcurseur d’un grand nombre d’intrusions informatiques, dont des attaques de ransomwares et la compromission de comptes d’utilisateurs dans le secteur financier. Ces actions ont caus des centaines de millions de dollars de pertes des particuliers et des entreprises en France, aux tats-Unis et ailleurs.
Cependant, dans son annonce triomphale fin aot, ce que le FBI a oubli de mentionner, c’est la manire dont lui et ses partenaires (France, Allemagne, Pays-Bas, Royaume-Uni, Roumanie et Lettonie) sont parvenus perturber les activits illgales de Qakbot. En effet, la publication du mandat qui a rgi les actions du FBI a rvl qu’un tribunal fdral amricain a autoris l’agence installer distance un logiciel sur les ordinateurs des particuliers supposment infects par les logiciels malveillants de Qakbot. Par la suite, le FBI a pu effectuer une analyse complte des appareils concerns afin de dtecter et de supprimer les logiciels malveillants de Qakbot.
Le FBI a expliqu que quatre jours aprs avoir obtenu le mandat, l’agence a pirat l’infrastructure informatique centrale de Qakbot et a ensuite disloqu le rseau. Elle explique avoir limin discrtement des maliciels de plus de 700 000 ordinateurs dans le monde. Le FBI a obtenu un accs lgal l’infrastructure de Qakbot et a identifi plus de 700 000 ordinateurs infects dans le monde, dont plus de 200 000 aux tats-Unis. Pour perturber le rseau de botnets, le FBI a redirig le trafic de Qakbot vers des serveurs contrls par le Bureau qui ont demand aux ordinateurs infects de tlcharger un fichier de dsinstallation , indique le compte rendu du FBI.
Ce fichier de dsinstallation, cr pour supprimer le logiciel malveillant de Qakbot, a permis de dtacher les ordinateurs infects du rseau de botnets et d’empcher l’installation de tout autre logiciel malveillant , ajoute l’agence. Tout cela a t accompli grce un mandat de cinq pages qui n’a pas grand-chose dire sur la cause probable justifiant cette intrusion dans les ordinateurs des prsumes victimes de Qakbot. Il autorisait le FBI fouiller chaque ordinateur auquel il envoyait son logiciel. Mais ce qui n’est pas immdiatement clair la lecture du mandat dlivr par le tribunal, c’est la manire dont le FBI a dtermin quels ordinateurs taient infects.
Le mandant semble plutt avoir autoris une intrusion dans tous les ordinateurs auxquels le FBI pouvait accder, les infections tant dtermines l’issue de la recherche de masse. Le mandat prcise que des techniques d’accs distance peuvent tre utilises. Selon les critiques, il y a fort parier que le FBI ne savait pas quels ordinateurs taient infects lorsqu’il a dploy sa « technique d’accs distance ». Cela signifie qu’il a t autoris cibler tout appareil auquel il pouvait accder, les facteurs de contrle n’apparaissant que quatre jours aprs qu’il a dj effectu sa recherche. Les critiques craignent que ce type de mandat donne lieu des abus.
Le mandat a t dlivr le 21 aot 2023 par le tribunal de district des tats-Unis pour le district central de Californie et le document indique ce qui suit : ce mandat autorise la perquisition des supports de stockage lectronique identifis dans l’annexe A et la saisie ou la copie d’informations stockes stockes lectroniquement qui constituent des preuves et/ou des instruments de la conspiration de Qakbot et de la fraude informatique []. Des techniques d’accs distance peuvent tre utilises . Selon le mandat, le FBI peut dployer des techniques d’accs distance pour :
- perquisitionner les supports de stockage lectronique identifis et pour saisir ou copier partir de ces supports toute information stocke lectroniquement, telle que les cls de chiffrement et les listes de serveurs, utilise par les administrateurs du rseau de botnets Qakbot pour communiquer avec les ordinateurs qui font partie de l’infrastructure du botnet Qakbot ;
- perquisitionner les supports de stockage lectronique identifis dans l’annexe A et saisir ou copier partir de ces supports toute information stocke lectroniquement, telle que les adresses IP et les informations de routage, ncessaire pour dterminer si un dispositif numrique identifi dans l’annexe A continue d’tre contrl par les administrateurs de Qakbot aprs la saisie ou la copie des informations stockes lectroniquement identifies dans le paragraphe 1.
Le seul facteur attnuant est le dernier paragraphe du mandat approuv : le prsent mandat n’autorise pas la saisie de biens matriels. Sous rserve des dispositions de la dclaration sous serment qui l’accompagne et des paragraphes 1 et 2, le prsent mandat n’autorise pas la saisie ou la copie du contenu des supports de stockage lectroniques identifis dans l’annexe A, ni la modification de la fonctionnalit des supports de stockage lectroniques identifis dans l’annexe A . Mais selon les critiques, cette circonstance n’est attnuante que si vous pensez que le FBI ne profitera pas de cette occasion pour chercher d’autres choses qui pourraient l’intresser.
Tout ce que cela signifie, c’est que le tribunal fait confiance au FBI pour ne pas abuser de cet accs. Et cela nous oblige tous oprer selon la mme norme douteuse, puisque le FBI a clairement indiqu qu’il n’est pas dispos ni lgalement oblig d’informer les utilisateurs d’ordinateurs que leurs ordinateurs aient t compromis par le logiciel du FBI, mme brivement ou utilement. Compte tenu de cette absence de divulgation, il sera pratiquement impossible de contester les preuves d’autres activits criminelles qui auraient pu tre obtenues au cours de cette perquisition de masse [au moins 700 000 ordinateurs sont concerns] , a crit un critique.
Cela signifie galement que les utilisateurs ne sont pas en mesure de vrifier le travail du FBI en s’assurant que leurs appareils ne sont pas infects par un botnet ou par un logiciel malveillant du FBI. Le fait est qu’il existe dsormais des mcanismes accepts par les tribunaux qui permettraient facilement au FBI de s’engager dans des activits plus attentatoires aux droits des personnes – o des victimes de dploiements douteux de logiciels espions dcouvriraient un jour qu’elles ont t cibles lors d’activits du FBI ostensiblement destines dmanteler des botnets – sans trop s’inquiter du contrle judiciaire. Selon les critiques, il s’agit d’une pratique illgale.
Il y a de fortes chances que le FBI ait trait cette affaire de faon honnte et dcente et qu’il ait rendu un service public utile. Cependant, la controverse grandit sur la toile. Le mandat du tribunal est peru par de nombreux internautes comme une intrusion flagrante dans leur vie prive. Ils s’indignent du fait que le tribunal et le FBI n’ont pris aucune mesure visant informer les personnes concernes. Ils craignent qu’ l’avenir, le FBI mette en avant une fausse opration de dmantlement de botnets pour obtenir un accs lgal des millions d’appareils lectroniques aux tats-Unis et dans le monde. C’est un dangereux prcdent , affirme un critique.
Sources : le ministre franais de la Justice, le FBI, le mandat obtenu par le FBI (PDF)
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous du mandat dlivr au FBI par la justice amricaine ?
Cette opration reprsente-t-elle une intrusion dans la vie prive des personnes concernes ?
Que pensez-vous du fait que le FBI a choisi de ne pas informer les personnes concernes par l’opration ?
Le dmantlement d’un rseau de botnets justifie-t-elle une telle intrusion dans les ordinateurs des particuliers ?
Voir aussi