Twitter le mois dernier a soumis un avis Digital Millennium Copyright Act à GitHub – un service Web conçu pour héberger le code source téléchargé par l’utilisateur – exigeant que certains contenus soient supprimés parce qu’ils étaient prétendument “[p]code source propriétaire pour la plate-forme et les outils internes de Twitter. Twitter a ensuite déposé une déclaration devant un tribunal fédéral à l’appui de sa demande d’assignation DMCA, dont le but apparent était “d’identifier le ou les contrevenants présumés qui ont publié le code source de Twitter sur des systèmes exploités par GitHub sans l’autorisation de Twitter”.
Cependant, Twitter semble avoir révisé son avis DMCA, essentiellement une plainte pour violation du droit d’auteur, le jour même où il a été déposé pour demander non seulement des informations sur le téléchargeur, mais également “tout historique de téléchargement / téléchargement / accès associé (et toute information de contact, Adresses IP ou autres informations de session liées à celles-ci), et tous les journaux associés liés à ce référentiel ou à ses forks. » En d’autres termes, Twitter recherche désormais des informations non seulement sur le prétendu bailleur, mais également sur toute personne ayant interagi avec le référentiel GitHub particulier, l’espace en ligne pour stocker le code source, de quelque manière que ce soit, y compris simplement en y accédant. Essayer de forcer GitHub à révéler des informations sur les visiteurs d’un référentiel particulier qu’il héberge via une demande d’assignation à comparaître est un geste qui rappelle le ministère de la Justice tentant d’obliger une société d’hébergement Web à révéler des informations sur les visiteurs d’un site Web anti-Trump .
DMCA : l’outil de choix pour le doxxing et la censure
Ce n’est pas la première fois que des entreprises tentent d’utiliser des assignations DMCA pour identifier les fuyards. Une filiale de Marvel Studios a récemment demandé des assignations à comparaître DMCA pour forcer Reddit et Google à révéler des informations sur quelqu’un qui a téléchargé un scénario de film sur Google et l’a publié sur Reddit avant la sortie du film. Les revendications DMCA ont également une histoire sordide d’utilisation dans des tentatives de doxxing. De fausses réclamations DMCA peuvent être déposées pour inciter un utilisateur ciblé à déposer ensuite une demande reconventionnelle, ce qui nécessite qu’il remplisse son nom et son adresse, qui à leur tour sont transmis au déposant d’origine. À d’autres moments, le DMCA est utilisé simplement pour censurer le contenu, que ce soit pour museler les membres de la société civile ou pour la gestion de la réputation.
Aucune citation à comparaître requise ?
GitHub n’a semblé que trop disposé à fournir des informations sur ses propriétaires de référentiels et ses visiteurs, même sans assignation. Lorsque le propriétaire d’un autre référentiel non lié a récemment demandé à GitHub de fournir les journaux d’accès des utilisateurs qui l’avaient visité, GitHub apparaît pour s’être facilement conformé, masquant uniquement le dernier octet de l’adresse IP du visiteur, la partie non expurgée révélant encore potentiellement des informations telles que le fournisseur de services Internet d’un utilisateur et son emplacement approximatif.
Il existe également un certain nombre de moyens publics d’extraire des informations utilisateur de GitHub, telles que les adresses e-mail associées à un compte GitHub particulier. Ironiquement, certains scripts hébergés sur GitHub sont conçus pour automatiser l’exfiltration de l’adresse e-mail d’un utilisateur GitHub. Une fois qu’une adresse e-mail est connue, le processus de demande d’assignation à comparaître pour plus d’informations sur un utilisateur particulier peut être répété dans le but d’obtenir des données encore plus sensibles.
Le sac d’astuces de Musk
En plus de prétendre utiliser des méthodes de filigrane pour attraper les fuites, les autres sociétés de Musk ont également demandé des assignations à comparaître pour forcer les fournisseurs de services à révéler des informations sur les fuites. Par exemple, lorsque Musk s’est concentré sur (et a par la suite harcelé) un suspect qui a fourni des documents internes à un journaliste sur de grandes quantités de déchets générés à la “Gigafactory” de Tesla, Tesla a demandé à comparaître Apple, AT&T, Dropbox, Facebook, Google, Microsoft, Open Whisper Systems (l’ancienne organisation à l’origine de l’application de messagerie sécurisée Signal) et WhatsApp. Les assignations à comparaître proposées “ordonnaient” à leurs cibles de conserver toute information sur les comptes du suspect, ainsi que tous les documents que le suspect “a supprimés des comptes précédents mais qui sont toujours accessibles par vous”.
En plus des citations à comparaître proposées, Tesla aurait tenté d’identifier les fuyards en examinant les images de surveillance pour voir qui avait pris des photos (l’histoire originale de Business Insider qui a déclenché l’enquête de Tesla mentionnait que la source avait fourni des images pour corroborer ses allégations de déchets au usine). La société a également vérifié les journaux d’accès aux fichiers pour voir qui avait accédé aux données fournies au média.
Suite à l’identification du bailleur présumé, Tesla se serait engagé dans une vaste campagne de surveillance, notamment en piratant le téléphone du suspect ; demander au suspect de remettre son ordinateur portable pour une «mise à jour» qui était, en fait, une vérification médico-légale; déployer un agent de sécurité en civil pour surveiller le suspect dans l’usine ; et l’embauche d’enquêteurs privés pour mener une surveillance plus poussée.
Plats à emporter pour les fuyards
Compte tenu de l’approche laxiste de la divulgation des informations sur les utilisateurs par les fournisseurs de services, associée aux tactiques agressives employées par les entreprises pour révéler les sources, la conclusion pour les fuiteurs potentiels est claire : ne faites pas confiance aux fournisseurs de services pour protéger les informations qu’ils pourraient avoir sur vous. Les sites Web peuvent révéler des informations sur le bailleur, intentionnellement ou non, et que cela soit légalement obligé ou de leur propre chef. Les fuiteurs feraient bien d’éviter d’utiliser leur domicile ou une autre connexion Internet à proximité et de l’obscurcir davantage à l’aide d’outils tels que le navigateur Tor. De plus, il est préférable de s’assurer que toute information requise pour créer un compte particulier, telle qu’une adresse e-mail ou un numéro de téléphone, ne puisse pas être retracée jusqu’au responsable de la fuite.
La source: theintercept.com