Saviez-vous que de nombreuses entreprises technologiques disposent d’un site dédié via lequel les forces de l’ordre peuvent soumettre des requêtes pour obtenir des données d’utilisateurs ? Normalement, ce genre de portail n’est censé être accessible qu’aux personnes disposant d’une adresse e-mail et d’un mot de passe vérifiés mais TechCrunch nous rapporte le dimanche 27 septembre 2020 que des parties d’un portail Web d’Amazon utilisé par les forces de l’ordre sont devenues accessibles au public.
Ce portail permettrait aux agents des forces de l’ordre munis d’un document juridique, comme d’une citation à comparaître, un mandat de perquisition ou une ordonnance du tribunal, de demander l’accès à certaines données clients. Bien que le portail soit accessible au public sur Internet, les forces de l’ordre doivent s’enregistrer sur le site pour qu’Amazon puisse vérifier leur identité avant de traiter leur demande.
Néanmoins, les agents de l’autorité n’auraient pas besoin de s’identifier pour les demandes urgentes du moment qu’ils déclarent et reconnaissent qu’ils font partie des forces de l’ordre autorisées à soumettre une demande.
Amazon peut donner accès à un certain nombre d’informations sensibles aux forces de l’ordre
D’après les informations de TechCrunch, le portail n’affiche pas les données des clients et n’autorise pas l’accès aux demandes antérieures effectuées par les forces de l’ordre. Les parties visibles du site ont cependant montré le tableau de bord et le formulaire de demande standard que doivent remplir les forces de l’ordre.
Ces dernières pourraient notamment demander à Amazon de leur communiquer des numéros de commande, des numéros de série d’appareils Echo et Fire, des détails de carte de crédit, des numéros de compte bancaire, des cartes-cadeaux, des numéros de livraison et d’expédition mais aussi le numéro de sécurité sociale des chauffeurs-livreurs.
Les forces de l’ordre pourraient également accéder à des enregistrements liés aux Amazon Web Services si elles renseignent des noms de domaine ou des adresses IP dans leur requête.
La visibilité de ce portail résulterait-elle d’un bogue ?
Selon TechCrunch, même si ce portail montre un aperçu de la manière dont le site de commerce en ligne traite les demandes émanant des autorités, on ne sait pas encore si les parties devenues visibles du site résultent d’un bogue. Contactée par TechCrunch et Engadget, l’entreprise n’a pas encore émis de commentaire.
Néanmoins, Amazon n’est pas la seule entreprise technologique à disposer d’un tel site. Google et Twitter en disposeraient également pour permettre aux autorités de demander des données sur leurs clients et utilisateurs. D’ailleurs, Motherboard a récemment rapporté que les portails mis en place par Facebook et WhatsApp sont également devenus accessibles à toute personne disposant d’une adresse e-mail.
source: https://techcrunch.com/2020/09/27/this-is-how-police-request-customer-data-from-amazon/