Si les mécréants derrière le Zeus des botnets qui Microsoft cherchaient à détruire avec un procès civil le mois dernier ne savaient pas déjà que le géant du logiciel souhaitait également les démasquer, ils le font presque certainement maintenant. Googleet peut-être d’autres fournisseurs de messagerie, ont récemment commencé à informer les présumés botmasters que Microsoft demandait leurs informations personnelles.
Page 1 d’une citation à comparaître envoyée par Microsoft à Google.
L’approche non conventionnelle de Microsoft pour poursuivre des dizaines de botmasters ZeuS offre un rare aperçu de la façon dont les fournisseurs de messagerie traitent les assignations à comparaître pour les informations de compte. Mais l’affaire attire également une fois de plus le feu d’un certain nombre de personnes au sein de la communauté de la sécurité qui remettent en question la sagesse et les conséquences à long terme de la stratégie de Microsoft pour lutter contre la cybercriminalité sans impliquer les responsables de l’application des lois.
Le mois dernier, Microsoft a fait la une des journaux en annonçant une poursuite civile qui, selon elle, a perturbé une importante opération de cybercriminalité qui a utilisé des logiciels malveillants pour voler 100 millions de dollars aux consommateurs et aux entreprises au cours des cinq dernières années. Cette manœuvre légale a peut-être bouleversé certaines opérations cybercriminelles, mais elle a également provoqué la colère de nombreux membres de la communauté des chercheurs en sécurité qui ont déclaré se sentir trahis par cette action. Les critiques ont accusé Microsoft d’exposer des informations sensibles qu’une poignée de chercheurs avaient partagées en toute confiance, et de retarder ou de faire dérailler les enquêtes des forces de l’ordre internationales sur l’activité du cheval de Troie ZeuS.
Une partie de la controverse découle du marché que Microsoft a conclu avec un juge fédéral dans l’affaire. Le tribunal a accordé à Microsoft le pouvoir de saisir discrètement des dizaines de noms de domaine et de serveurs Internet que les malfaiteurs utilisaient pour contrôler les botnets. En échange, Microsoft s’engageait à tout mettre en œuvre pour identifier les « John Does » qui avaient utilisé ces ressources, et leur donner la possibilité de contester la saisie. La communauté de la sécurité a d’abord été bouleversée par le premier coup de couteau de Microsoft dans cet effort, dans lequel il a publié les surnoms, les adresses e-mail et d’autres informations d’identification sur les personnes considérées comme responsables de la location de ces serveurs et domaines.
Et puis l’autre chaussure a chuté : au cours des derniers jours, Google a commencé à alerter les inscrits de plus de trois douzaines de comptes Gmail faisant l’objet d’assignations de Microsoft pour les enregistrements de courrier électronique. Les adresses e-mail figuraient déjà dans la plainte initiale de Microsoft publiée sur zeuslegalnotice.com, qui répertorie les surnoms et autres informations liées à 39 « John Does » distincts que Microsoft cherche à identifier. Mais lorsque Microsoft a assigné les informations de compte de messagerie sur ces John Does, Google a suivi sa politique de confidentialité, qui consiste à alerter chacun des titulaires de compte qu’il était prêt à fournir leurs informations personnelles à moins qu’ils ne s’y opposent formellement avant une certaine date.
Selon les sources qui ont reçu les notifications mais ont demandé à ne pas être nommées, les alertes Google se lisaient :
« Bonjour,
Google a reçu une assignation à comparaître pour des informations relatives à votre compte Google
compte dans une affaire intitulée Microsoft Corp., FS-ISAC, Inc. et NACHA c.
John Does 1-39 et al., US District Court, Northern District of California,
1:12-cv-01335 (SJ-RLM) (N° de référence interne 224623).Pour se conformer à la loi, à moins que vous ne nous fournissiez une copie d’une requête
d’annuler l’assignation (ou toute autre objection formelle déposée devant le tribunal) via
envoyer un e-mail à [email protected] avant 17 h 00, heure du Pacifique, en mai
22 2012, Google peut fournir des documents réactifs à cette date.Pour plus d’informations sur l’assignation, vous pouvez contacter le
partie recherchant ces informations à :Jacob M. Heath
Orrick, Herrington et Sutcliffe, LLP
Jacob M. Heath, 1000, chemin Marsh
Menlo Park, Californie 94025Google n’est pas en mesure de vous fournir des conseils juridiques.
Si vous avez d’autres questions concernant l’assignation, nous vous encourageons
pour contacter votre avocat.Merci. »
Contrairement à la plupart de ses concurrents dans l’industrie du Webmail, Google est exceptionnellement loquace sur sa politique de réponse aux assignations à comparaître. Cela lui a valu les meilleures notes de groupes de protection de la vie privée comme le Fondation de la frontière électronique (EFF), qui a récemment FAI classés et entreprises de médias sociaux sur la transparence de leurs politiques concernant la réponse aux demandes d’informations déposées par le gouvernement ou par les forces de l’ordre.
porte-parole de Google Christine Chen a déclaré qu’elle ne pouvait pas commenter des cas juridiques spécifiques, mais a déclaré que l’entreprise se conformait à la procédure judiciaire en vigueur.
« Nous prenons très au sérieux la confidentialité des utilisateurs, et chaque fois que nous recevons une demande, nous nous assurons qu’elle respecte à la fois la lettre et l’esprit de la loi avant de nous y conformer », a déclaré Chen. « Lorsque cela est possible et légal, nous informons les utilisateurs concernés des demandes de données utilisateur susceptibles de les affecter. Et si nous pensons qu’une demande est trop large, nous chercherons à la restreindre.
Au moins 15 des comptes de messagerie nommés dans le procès de Microsoft étaient des adresses à hotmail.com ou msn.com, deux services de messagerie Web gratuits gérés par Microsoft. Il n’est pas clair si Microsoft a informé ces titulaires de compte de l’assignation à comparaître. J’ai demandé Richard Boscovich, l’ancien avocat du ministère de la Justice et l’un des architectes de la stratégie juridique de Microsoft visant à cibler les botnets par des actions civiles ; il ne le savait pas et m’a référé à l’unité de conformité de Microsoft. J’attends toujours une réponse. Mais il convient de noter que Google était le seul fournisseur de messagerie électronique de la liste EFF reconnu pour alerter de manière fiable les utilisateurs des demandes de données. Microsoft n’était pas reconnu sur ce front.
Marcia Hofmannun avocat senior de l’EFF, a déclaré que l’effort juridique de Microsoft souligne la tension entre les processus traditionnels d’application de la loi et les entreprises utilisant des litiges civils pour protéger leurs propres utilisateurs et faire valoir leurs propres intérêts.
« Je soupçonne qu’il s’agit d’une situation dans laquelle Microsoft estime que les forces de l’ordre n’agissent pas assez rapidement », a déclaré Hofmann. « Mais cela compromet aussi fondamentalement la capacité des forces de l’ordre à faire quoi que ce soit pour résoudre le problème et permet aux suspects d’échapper à toute sorte d’action des forces de l’ordre. »
COUPER-COLLER LA JUSTICE ?
Les critiques de l’effort de Microsoft affirment que certains indices prouvent que l’entreprise a emprunté et publié des informations brutes sans comprendre pleinement la véritable valeur et les origines des données. Andy fritancien responsable de l’application des lois et propriétaire du cabinet de conseil en sécurité basé à Alexandria, en Virginie Détèquea été co-fondateur de la société peu connue Groupe de travail ZeuSune collection ad hoc et extrêmement secrète de responsables de l’application des lois et de professionnels de la sécurité privée dédiée au suivi de l’activité de ZeuS dans le but de traduire les responsables en justice.
« Un principe de base de ce groupe de confiance est que tout le monde se sent libre de partager des données, mais la règle est que vous ne divulguez jamais ces données en dehors du groupe de confiance sans l’autorisation expresse de celui qui a fourni les données », a déclaré Fried. « Mais il n’y avait aucun moyen que les données publiées par Microsoft soient reçues de manière indépendante. Une grande partie était copiée-collée textuellement, et certaines des données incluses dans le mandat de perquisition étaient horriblement obsolètes. »
Yevhen « Jonni » Kulibaba
Par exemple, plusieurs des principaux seigneurs du crime que Microsoft cherche à démasquer sont déjà en prison pour leurs crimes. John Doe # 22 dans la plainte de Microsoft – qui aurait utilisé le surnom de « Jonni » – n’est autre que Yevhen Kulibaba, un Ukrainien arrêté à Londres en 2010 et désigné comme chef de file d’un gang de recrutement de mules financières. Kulibaba purge actuellement une peine de quatre ans de prison en lien avec l’activité de ZeuS.
Microsoft a déclaré que John Doe # 23 s’appelait « jtk », mais c’était le surnom utilisé par Iouri Konovalenko, le complice de Kulibaba, âgé de 30 ans, qui a également été arrêté dans le cadre du gang ZeuS basé au Royaume-Uni. Konovalenko a également été condamné à quatre ans de prison.
On pense que John Doe # 24 de Microsoft porte le surnom de «Veggi Roma», mais selon des sources proches du dossier, il s’agissait d’une blague basée sur une chance qui a conduit la police à l’emplacement du gang britannique. Les enquêteurs de Londres avaient travaillé avec le FBI pour surveiller les communications de plusieurs membres du gang ZeuS basé à Londres, mais pendant un certain temps, ils ne savaient pas où se trouvaient les hommes, qui n’étaient connus à l’époque que sous le nom de Jonni et Jtk. C’est-à-dire jusqu’à ce que Jtk utilise sa connexion Internet pour commander une pizza à livrer dans leur appartement. Une pizza « Veggi Roma », pour être exact.
Youri « jtk » Konovalenko
Les lecteurs astucieux peuvent se demander comment il se fait que les e-mails de Google et les assignations à comparaître de Microsoft aux John Does nommés dans la plainte soient désormais publics. Selon Fried, c’est parce que certaines des adresses e-mail répertoriées dans la plainte de Microsoft comme appartenant aux malfaiteurs de John Doe étaient en fait des adresses utilisées par des chercheurs en sécurité qui avaient enregistré des domaines pour servir de « gouffres » à un ou plusieurs botnets ZeuS. Sinkholing est une pratique par laquelle les chercheurs redirigent l’identification des serveurs de contrôle du botnet vers leur propre serveur, de sorte que le trafic malveillant provenant de chaque client infecté par le bot aille directement dans la boîte de recherche, prêt à être analysé.
DOMMAGE COLLATÉRAL
Microsoft soutient qu’il a travaillé avec plusieurs partenaires de l’industrie de la sécurité et qu’il fonctionnait en partant du principe que les informations fournies par ces partenaires étaient soit les leurs, soit librement disponibles entre eux dans le but de sécuriser Internet.
Boscovich de Microsoft a déclaré que la société n’avait pas travaillé avec les forces de l’ordre sur cette opération et n’avait donc aucune idée s’il y avait des enquêtes en cours ou jugées concernant le John Does nommé dans son cas. Il a souligné que la protection des clients était la priorité numéro un de l’entreprise.
« Notre objectif principal était d’arrêter l’hémorragie, et tout ce que nous faisons est spécifiquement lié à cette mission », a déclaré Boscovich. «Le Congrès a spécifiquement envisagé qu’il était et est approprié que des entités privées se protègent et protègent leurs intérêts, et comme dans ce cas, les intérêts de nos clients. Les gens continuent d’être victimes, les ordinateurs compromis, les identités volées, et maintenant ces systèmes constituent une menace pour les autres personnes sur Internet, quel que soit le système d’exploitation qu’ils utilisent.
Pour sa part, Fried a déclaré qu’il pensait que Microsoft aurait bientôt plus de mal à obtenir des informations sensibles que les chercheurs en sécurité et les forces de l’ordre recueillent sur les principaux suspects de cybercriminalité. Il craint également que le groupe de travail ZeuS et d’autres groupes informels de partage d’informations ne se dissolvent ou ne deviennent moins efficaces à la suite de cette affaire.
« Microsoft a écarté tout le monde sauf eux-mêmes avec leur action initiale, et ils ont aggravé les choses assez rapidement avec ces assignations à comparaître », a déclaré Fried. « Cela va également causer des dommages collatéraux à de nombreux groupes de confiance, alors que tout ce qu’ils ont accompli n’est guère plus qu’un très petit inconvénient pour les méchants, dont les serveurs ont été sauvegardés dans les 24 heures suivant les takdeowns. »
Jon Praedpartenaire fondateur de la société basée à Arlington, en Virginie Groupe de droit d’Internets’est dit sensible à la position de Microsoft et pense que Google aurait dû se donner la peine d’enquêter pour savoir si les comptes de John Doe cités dans le procès de Microsoft méritaient d’être notifiés.
« Malheureusement, la plupart des fournisseurs de messagerie ont une politique de confidentialité unique », a déclaré Praed. « Toutes ces entreprises ont essayé de créer le droit légal de faire la bonne chose, mais elles ne font presque aucune tentative pour appliquer cette politique dans la pratique. En même temps, Microsoft dépense énormément d’argent pour essayer d’arrêter cette activité, et je ne connais personne d’autre qui essaie même de le faire.