Discussion :

[Stéphane le calme]

USA : un service pensé pour surveiller des prisonniers aurait été utilisé pour localiser en temps réel d'autres personnes,
sans mandat

Des milliers de prisons à travers les États-Unis font appel à une société appelée Securus Technologies pour fournir et surveiller les appels aux détenus. Cependant, selon le New York Times, l'ancien shérif du comté du Mississippi, Mo., a utilisé un service de Securus moins connu afin de pister des téléphones portables, y compris ceux des autres officiers, sans mandat, selon les accusations portées contre lui devant les tribunaux étatiques et fédéraux.

Le service peut trouver les allées et venues de presque n'importe quel téléphone portable dans le pays en quelques secondes. Selon les documents présentés, il le fait en passant par un système généralement utilisé par les commerçants et d'autres entreprises pour obtenir des données de localisation des principaux opérateurs de téléphonie cellulaire, y compris AT&T, Sprint, T-Mobile et Verizon.

Entre 2014 et 2017, le shérif, Cory Hutcheson, a utilisé le service au moins 11 fois, selon les procureurs. Ses cibles présumées comprenaient un juge et des membres de la State Highway Patrol. Hutcheson, qui a été licencié l'année dernière dans une affaire sans rapport, a plaidé non coupable dans les affaires de surveillance.

Comme le repérage des emplacements est devenu plus précis et que de plus en plus d’individus portent leurs téléphones à chaque instant, la capacité des agents des forces de l’ordre et des entreprises comme Securus à obtenir ces données est devenue une préoccupation grandissante.

Securus offre le service de recherche d'emplacement comme une fonctionnalité supplémentaire pour les responsables des forces de l’ordre et des services correctionnels, dans le cadre d'un effort visant à attirer les clients dans une industrie lucrative mais concurrentielle. Dans les paquets promotionnels, l'entreprise raconte plusieurs cas dans lesquels ce service en particulier a été utilisé.

C’est dans ce contexte qu’il est porté à la connaissance du public qu’une femme, qui a été condamnée à suivre une cure de désintoxication, a quitté le centre mais a finalement été localisée par un fonctionnaire utilisant le service. D'autres exemples incluent un fonctionnaire qui a trouvé un patient d'Alzheimer qui manquait à l’appel et des inspecteurs de police qui ont utilisé un « positionnement précis de l'information de localisation » pour se trouver « à moins de 42 pieds de l'emplacement du suspect » dans une affaire de meurtre.

Comment ça marche ?

La capacité de localisation de Securus repose sur un ensemble d’agrégateurs de localisation qui obtiennent des informations directement auprès des fournisseurs de services mobiles, généralement dans le but de fournir un service commercial.

La société texane Securus obtiendrait ses données de 3CInteractive, qui à son tour achète des données de LocationSmart. Pour avoir une idée de la puissance d’une API de localisation, vous pouvez essayer une démo de LocationSmart.

Le service de localisation de Securus tel qu'il est utilisé par les forces de l'ordre est également en cours d'examen. Un porte-parole de l’entreprise a déclaré que les clients devaient télécharger un document juridique, tel qu'un mandat ou un affidavit, et certifier que l'activité était autorisée.

« Securus n'est ni un juge ni un procureur de district, et la responsabilité d'assurer la légalité des pièces justificatives incombe à nos clients et à leurs avocats », a déclaré le porte-parole dans un communiqué.

Vendredi, le sénateur Ron Wyden (D-Oregon) a publié les lettres officielles qu’il a adressé à AT & T et également à la Federal Communications Commission dans lesquelles il demande des réponses détaillées concernant ces révélations de Securus.

« Pour accéder à ces données privées, les agents de correction visitent simplement le portail Web de Securus, saisissent un numéro de téléphone portable américain, puis téléchargent un document censé être un document officiel autorisant l'obtention de données de localisation en temps réel », a regretté Wyden.

« Les hauts responsables de Securus ont confirmé à mon bureau que Securus ne prend aucune mesure pour vérifier que les documents téléchargés fournissent effectivement une autorisation pour la surveillance en temps réel. De plus ils n'effectuent pas un examen des demandes de surveillance », a poursuivi Wyden. « Securus a prétendu, à tort, que les établissements correctionnels, et non Securus, doivent veiller à ce que les agents de correction n'abusent pas du portail Web ».

Blake Reid, un professeur de droit à l'Université du Colorado, a déclaré qu'il n'était pas familier avec des services comme celui-ci qui permettent à la police d'obtenir en temps réel des informations de localisation pour presque n'importe quel nombre.

« C'est certainement sans précédent », a-t-il déclaré. « Ce n'est pas comme ça que les services de police doivent travailler pour obtenir des données de localisation - ils sont censés les obtenir des compagnies de téléphone et après présentation d’un mandat ».

Démo de LocationSmart
Securus

Source : NYT, plainte, lettres envoyées par le sénateur Wyden (à AT&T, à la FTC)

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

La police de Raleigh a demandé des données de localisation Google pour identifier les suspects, dans des affaires criminelles
Désactiver le service de localisation de votre Android suffit-il pour ne pas être pisté par Google ? Non, d'après des investigations menées par Quartz
Des cybercriminels utilisent l'application iCloud « Localiser mon appareil » pour verrouiller des Mac et exiger des rançons
Vault 7 : WikiLeaks dévoile ELSA un malware de la CIA qui permet de géolocaliser des PC via des hotspot Wifi
iOS 11 : Apple lance une option qui permet de désactiver la collecte intempestive des données de localisation par des applications en arrière-plan

[Neckara]

Mouais, cela me semble aussi sécurisé que les "je certifie avoir plus de 18 ans", sur certains sites que la morale réprouve*.
Ou dans le même style "êtes-vous un terroriste ?" lors de l'arrivée aux USA.


Ce niveau de bêtise en devient effrayant.


* Bon, je suis de mauvaise foi, dans ce cas, c'est plus pour se couvrir juridiquement.

[sebastiano]

Mouais, cela me semble aussi sécurisé que les "je certifie avoir plus de 18 ans", sur certains sites que la morale réprouve*.
Ou dans le même style "êtes-vous un terroriste ?" lors de l'arrivée aux USA.


Ce niveau de bêtise en devient effrayant.


* Bon, je suis de mauvaise foi, dans ce cas, c'est plus pour se couvrir juridiquement.

Le coup de la question "êtes-vous un terroriste ?", c'est loin d'être de la bêtise. C'est juste un moyen de protection. Ainsi, si tu coches non et que tu perpètres tout de même un attentat, la justice fera son boulot plus rapidement : tu as menti.

[sergio_is_back]

Le coup de la question "êtes-vous un terroriste ?", c'est loin d'être de la bêtise. C'est juste un moyen de protection. Ainsi, si tu coches non et que tu perpètres tout de même un attentat, la justice fera son boulot plus rapidement : tu as menti.

Tu crois vraiment que le gars qui veut se faire sauter va cocher la case ? C'est comme l'histoire de la déchéance de nationalité, celui qui veut se faire exploser, ça va lui faire une belle jambe de perdre sa nationalité après être décédé !

Non ce que je trouve lamentable dans ce post, c'est qu'une société fournisse des moyens d'espionnage sans vérification aucune de qui les utilise et à quelle fin !
Que l'on géolocalise quelqu'un sur réquisition d'un juge ou d'une autorité judiciaire dument accrédité passe encore... Mais là on fournit les moyens à tout un chacun de faire n'importe quoi !

[sebastiano]

Tu crois vraiment que le gars qui veut se faire sauter va cocher la case ? C'est comme l'histoire de la déchéance de nationalité, celui qui veut se faire exploser, ça va lui faire une belle jambe de perdre sa nationalité après être décédé !

Vous faites exprès de ne pas comprendre ? Et l'auteur de l'attentat de Boston, ils l'ont choppé vivant, donc un type qui viendrait aux USA commettre un attentat et rester vivant, ça peut très bien arriver. Et donc, c'est une case purement administrative : t'as pas coché, t'as fait un attentat, tu pourras même pas tenter de t'en défendre. Ca sert uniquement devant les tribunaux.

Mais bon, c'est dans l'ère du temps de prendre les Américains pour des gros dégénérés (on est tellement supérieurs en France).

[onilink_]

Vous faites exprès de ne pas comprendre ? Et l'auteur de l'attentat de Boston, ils l'ont choppé vivant, donc un type qui viendrait aux USA commettre un attentat et rester vivant, ça peut très bien arriver. Et donc, c'est une case purement administrative : t'as pas coché, t'as fait un attentat, tu pourras même pas tenter de t'en défendre. Ca sert uniquement devant les tribunaux.

Mais bon, c'est dans l'ère du temps de prendre les Américains pour des gros dégénérés (on est tellement supérieurs en France).

Je ne comprends pas trop ce que ça apporte a ce niveau, sinon pourquoi ne pas mettre "Comptez vous commettre un délit?".

J'imagine que c'est plus pour jouer sur le côté psychologique de la chose.

[SofEvans]

Vous faites exprès de ne pas comprendre ? Et l'auteur de l'attentat de Boston, ils l'ont choppé vivant, donc un type qui viendrait aux USA commettre un attentat et rester vivant, ça peut très bien arriver. Et donc, c'est une case purement administrative : t'as pas coché, t'as fait un attentat, tu pourras même pas tenter de t'en défendre. Ca sert uniquement devant les tribunaux.

Mais bon, c'est dans l'ère du temps de prendre les Américains pour des gros dégénérés (on est tellement supérieurs en France).

Il devrait mettre une case "Comptez-vous commettre un délit ?" partout alors ...

Petite question idiote :

Un gars quelconque arrive aux US, il a rien à voir avec le terrorisme, il coche donc "Non".
Puis, après, il se radicalise pour une raison X ou Y (chômage, dépression, conviction, etc etc) mais la radicalisation se passe après son arrivé aux US.
Le gars commet un attentat, il est pris vivant.
Comment tu fais pour prouver que lorsqu'il a coché "Non", il a menti ?

Oui, cette case à cocher est purement administrative, elle est très lié à la culture US où mentir est pire (ou presque) que commettre un délit.
C'est d'ailleurs pour cela que l'histoire Clinton-Lewinski avait fait scandale : Les américains étaient tout autant outré de l'action du président que de son mensonge sous serment.

Mais au final, qui cocheras cette case ? Je serais curieux d'avoir des statistiques sur cela ...

[Saverok]

Mais au final, qui cocheras cette case ? Je serais curieux d'avoir des statistiques sur cela ...

Probablement des rigolos qui s'imaginent faire une bonne blague jusqu'à ce qu'une unité anti-terroriste défonce la porte de leur hôtel et les envoie à Guantanamo
Ils repartiront libre quelques jours plus tard en ayant fait dans leur froc et avec une belle amende pour couvrir les frais d'intervention et de détention ainsi que le dédommagement de l'hôtel

[SofEvans]

@Saverok

Le pire, c'est que tu as probablement raison ... sauf qu'à mon avis, les petits rigolos n'arriveront jamais jusqu'à l'hôtel. Ils ne quitteront même pas le bâtiment où à lieux cette vérification.
Un peu comme le gars qui avait fait la blague d’éternuer dans un avion et d'ensuite dire qu'il revenait d'Afrique ... en pleine paranoïa du virus Ebola. Il est pas allé loin non plus, celui-là.

[Hizin]

On avait déjà eu le même genre d'histoire avec PRISM.

Lorsque l'on a un outil, quel que soit l'outil, il y a des dérives. Rien de bien nouveau (ni de bien surprenant) sous le soleil...

[Saverok]

On avait déjà eu le même genre d'histoire avec PRISM.

Lorsque l'on a un outil, quel que soit l'outil, il y a des dérives. Rien de bien nouveau (ni de bien surprenant) sous le soleil...

Oui.
Par contre, ce qui désole c'est qu'on ne tire jamais aucun enseignement de ce type de scandale.
On reproduit sans cesse les mêmes erreurs.

Ce type d'application se doit d'être particulièrement verrouillée et contrôlée en raison de leur nature sensible.
Les personnes qui ont accès à ce type d'application doivent avoir conscience (et de nombreux messages d'alerte devraient être présents dans les appli) pour rappeler les règles de bonnes pratiques ainsi qu'informer que tout ce qu'ils font est tracé et susceptible d'être contrôlé.

[Stéphane le calme]

Securus, l'entreprise qui permet aux policiers de surveiller la localisation en temps réel à travers les États-Unis,
a été victime d'un piratage

Il y a quelques jours, le New York Times a rapporté que l'ancien shérif du comté du Mississippi, Mo., a utilisé un service de Securus Technologies afin de pister des téléphones portables, y compris ceux des autres officiers, sans mandat.

Securus offre le service de recherche d'emplacement comme une fonctionnalité supplémentaire pour les responsables des forces de l’ordre et des services correctionnels, dans le cadre d'un effort visant à attirer les clients dans une industrie lucrative mais concurrentielle.

La capacité de localisation de Securus repose sur un ensemble d’agrégateurs de localisation qui obtiennent des informations directement auprès des fournisseurs de services mobiles, généralement dans le but de fournir un service commercial.

La société texane Securus obtiendrait ses données de 3CInteractive, qui à son tour achète des données de LocationSmart. Le service de localisation de Securus tel qu'il est utilisé par les forces de l'ordre est également en cours d'examen. Un porte-parole de l’entreprise a déclaré que les clients devaient télécharger un document juridique, tel qu'un mandat ou un affidavit, et certifier que l'activité était autorisée.

Cette procédure simplifiée, qui n’implique aucune vérification des documents juridiques présentés à Securus, a poussé un hacker à l’action. Il s’est introduit dans les serveurs de Securus et a extirpé des données qu’il a remis à MotherBoard. Ces données comprenaient entre autres des noms d’utilisateur et des mots de passe mal sécurisés de milliers de clients de Securus.

MotherBoard a estimé que, bien qu'il ne soit pas clair combien de ces clients utilisent le service de géolocalisation par téléphone de Securus, ce genre d’actualité vient souligner l’incroyable laxisme d'une entreprise qui accorde un pouvoir exceptionnel aux forces de l’ordre pour surveiller les individus.

« Les agrégateurs d'emplacements sont, du point de vue des agences de renseignement étrangères, l'une des cibles de piratage les plus juteuses imaginables », a déclaré Thomas Rid, professeur d'études stratégiques à l'université Johns Hopkins.

Le hacker a également fourni plusieurs fichiers internes. Un tableur tiré d'une base de données portant la mention « Police » et qui comprend plus de 2 800 noms d'utilisateurs, adresses électroniques, numéros de téléphone, mots de passe hachés et questions de sécurité des utilisateurs de Securus, allant de 2011 à cette année.

À cause du type de hash utilisé (MD5), MB est persuadé que des pirates auraient pu deviné le mot de passe réel dans de nombreux cas. « En fait, certains de ces mots de passe ont même été “cracké” et étaient inclus dans le tableur. Il n'est pas immédiatement clair si le hacker qui a fourni les données à MotherBoard a craqué ces mots de passe allégués ou si Securus les a stockés de cette façon ».

Qui sont les clients de Securus ?

La plupart des utilisateurs sur la feuille de calcul proviennent d'organismes gouvernementaux américains, y compris les départements de shérifs, les comtés locaux et les forces de l'ordre de la ville. Les villes touchées comprennent Minneapolis, Phoenix, Indianapolis et bien d'autres. Les données incluent également les membres du personnel de Securus, ainsi que les utilisateurs ayant des adresses e-mail personnelles qui ne sont pas explicitement liées à un service gouvernemental particulier.

MB a entrepris de vérifier les données en utilisant la fonction « mot de passe oublié » du site Web de Securus. Lors de la saisie d'une adresse e-mail factice, le site a renvoyé une erreur. Mais lorsque le nom d'utilisateur et l'adresse e-mail issus du tableur étaient entrés, le site Web a proposé de passer à l'étape suivante du processus de réinitialisation du mot de passe, confirmant que ces informations sont stockées dans les systèmes de Securus. Chaque ensemble d'informations d'identification testé par Motherboard a été un succès.

Qui sont ceux qui se servent de l’outil de localisation ?

MB affirme que le nombre d’utilisateurs ayant fait appel au service de localisation de Securus n’est pas clair. Cependant, d'autres parties des données indiquent qu’ils sont nombreux à travailler dans l’univers carcéral. En effet, certains rôles des utilisateurs sont marqués comme « administrateur de prison », « directeur de prison » et « directeur adjoint ». Sur son site Web, Securus commercialise son produit « Location Based Services » dans les prisons afin que le personnel sache où les détenus appellent.

« Suivez les appareils mobiles même lorsque le GPS est éteint », peut-on lire sur le site Web de Securus, où l’entreprise promet d’être en mesure de fournir un certain nombre de données parmi lesquelles la géolocalisation de l’appel d’origine.

« Securus permettait le suivi sans mandat ; il permettait aux utilisateurs de son système de prétendre en avoir reçu l'autorisation, mais Securus ne se donnait pas la peine de vérifier. Et c’est un problème », a déclaré Andrew Crocker, avocat au sein de l’Electronic Frontier Foundation, le défenseur des droits numériques.

« Le problème qui peut être soulevé avec n'importe quel système est posé dès lors qu’il ne se limite pas aux personnes autorisés à exercer la surveillance ». Il a également estimé que le fait qu’un hacker puisse accéder à une liste d'utilisateurs Securus et à ses identifiants est particulièrement dangereux.

Une entreprise qui se soucie peu des données ?

Une enquête précédente publiée par le quotidien Intercept a évoqué un piratage de Securus en 2015 sur des données relatives à 70 millions d'appels téléphoniques de prisonniers, certains d’entre eux indiquaient des violations de privilèges avocat - client.

De plus, le hacker à l’origine de la fuite actuelle a indiqué qu’un manuel d’utilisation de la carte de Securus est disponible en ligne. Cependant, au lieu de remplir l'écran avec de fausses données à des fins de démonstration, le guide semble inclure le vrai nom, l'adresse et le numéro de téléphone de personnes spécifiques.

Source : MB, The Intercept

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

La police de Raleigh a demandé des données de localisation Google pour identifier les suspects, dans des affaires criminelles
Désactiver le service de localisation de votre Android suffit-il pour ne pas être pisté par Google ? Non, d'après des investigations menées par Quartz
Des cybercriminels utilisent l'application iCloud « Localiser mon appareil » pour verrouiller des Mac et exiger des rançons
Vault 7 : WikiLeaks dévoile ELSA un malware de la CIA qui permet de géolocaliser des PC via des hotspot Wifi
iOS 11 : Apple lance une option qui permet de désactiver la collecte intempestive des données de localisation par des applications en arrière-plan