Comment une hackeuse éthique a démasqué une agence de renseignement avec… un simple AirTag
Lilith Wittmann est experte allemande en sécurité informatique, particulièrement engagée dans la défense des libertés publiques.
Elle s’est notamment fait connaître en signalant durant une campagne législative une faille de sécurité dans une application utilisée par le CDU, qui laissait accessible... les adresses et les noms des électeurs parti chrétien-démocrate !
La même année, en décembre, Lilith Wittmann fait des recherches sur les institutions fédérales allemandes. Un jour, elle tombe sur une institution particulièrement discrète, la Bundesservice Telekommunikation (« l’Autorité Fédérale de Télécommunications »).
Cette entité ne dispose d’aucun panneau officiel et n’affiche pas d’adresse email fonctionnelle. En y regardant de près, on ne comprend pas clairement sa compétence et son périmètre d’action. Ni quel est son budget.
Autant d’éléments inhabituels qui éveillent les soupçons de la spécialiste, qui se demande si la « Bundesservice Telekommunikation » ne sert tout simplement pas de couverture pour un service de renseignement.
Elle décide d’en avoir le coeur net.
Au téléphone les employés refusent de donner des informations concrètes sur la juridiction, l’emplacement ou les activités de l’agence.
Elle réalise alors plusieurs requêtes plus formelles auprès de l’organisme, suivies de visites sur site. N’obtenant toujours rien, elle poursuit par des analyses d’adresses IP, qu’elle retrace jusqu’au ministère de l’Intérieur.
Elle décide finalement d’envoyer à cette fameuse « autorité fédérale de télécommunications » un simple colis, contenant un Apple AirTag.
La spécialiste constate alors en suivant sa progression grâce à l’application Find My d’Apple que le colis, qui a quitté un centre de tri berlinois, est finalement livré, non pas à l’adresse indiquée, mais à la BfV de Cologne… l’agence de renseignement intérieure allemande.
Lilith Wittmann a publié le résultat de ces recherches sur son blog. Ce qui, on s’en doute, n’a donné lieu qu’à des démentis officiels de la part des autorités allemandes.
Le lien vers l’enquête de Lilith Wittmann
La brève de Bruce Schneier sur le sujet
Un article sur sa « divulgation responsable » concernant le CDU