Immaginare un servizio segreto che si infila nei dispositivi infettati da un botnet per ripulirli, con tanto di via libera da parte di un giudice, sembra fantascienza. Eppure è esattamente quello che è successo in Canada, dove per la prima volta i servizi di intelligence hanno ottenuto l’autorizzazione a entrare in apparecchi compromessi per cancellare ogni traccia di software malevolo. In Francia la situazione è diversa, più sfumata, e vale la pena capire perché.
Il punto di partenza è semplice ma poco rassicurante. Il campanello smart, il router di casa o la telecamera di sorveglianza possono lavorare per uno spionaggio straniero senza che il proprietario ne sappia nulla. Funziona proprio così un botnet: una rete di dispositivi violati che fa da ponte per il traffico di un aggressore, il quale si nasconde dietro la connessione altrui per andare a sondare bersagli sensibili. Lo scorso 15 giugno la Corte federale canadese ha reso pubblica una decisione fuori dall’ordinario, che autorizza l’intelligence del Paese a penetrare in questi apparecchi infetti per pulirli.
Un giudice autorizza l’intelligence a ripulire i campanelli smart
Il Service canadien du renseignement de sécurité, il CSIS, ha ottenuto un mandato che gli consente di modificare, degradare e poi distruggere i dati di due botnet ospitati su materiale basato in Canada. Nell’elenco ci sono server, router domestici, ma anche campanelli connessi, telecamere e televisori. Senza quell’autorizzazione, l’operazione sarebbe stata un reato vero e proprio, l’equivalente di un’intrusione informatica. La Corte ha quindi messo dei paletti chiari. L’azione mirava ai dispositivi e non alle persone, non sono state raccolte identità né contenuti, ed è la prima volta che accade per il renseignement canadese. La vicenda è rimasta peraltro riservata per oltre due anni. Il mandato era stato concesso già nel maggio del 2024, ma le sue motivazioni sono state svelate, in versione censurata, solo in questi giorni.
Le due reti erano pilotate da Stati stranieri, la cui identità è stata accuratamente nascosta nella decisione pubblica. L’obiettivo era mescolarsi nel traffico di normali utenti per spiare reti governative, militari e il settore dell’energia. Il problema è che il proprietario della telecamera violata si ritrova a pagare il conto per un traffico che non ha mai generato. Gli Stati Uniti hanno già condotto operazioni simili, ma tramite l’FBI e sotto autorità giudiziaria, per stanare pirati cinesi e poi russi annidati in vecchi router.
E in Francia, chi può ripulire la tua box?
La Francia ha già fatto la stessa cosa, ma passando da un’altra porta. Nel 2019 la gendarmeria è riuscita a disinfettare a distanza 850.000 computer infettati dal worm Retadup, che sfruttava la loro potenza per minare criptovaluta. Il server che pilotava la rete era ospitato in Île de France. Gli investigatori ne hanno preso il controllo, con l’aiuto di Avast e dell’FBI, e poi lo hanno sostituito con un server che ordinava al software malevolo di autodistruggersi. Una prima mondiale, condotta però dalla polizia giudiziaria e con il via libera di un procuratore, non dall’intelligence.
La differenza con il Canada sta tutta nel quadro normativo. In Francia questo tipo di pulizia rientra nella giustizia, dentro un’indagine penale, e non in un servizio di spionaggio. L’ANSSI, l’autorità francese per la cybersicurezza, non è del resto un servizio segreto. I suoi poteri, rafforzati dalla legge di programmazione militare, gli permettono di bloccare nomi di dominio malevoli, copiare il server di un aggressore o avvisare le vittime. Non di riprendere il controllo della box altrui per ripulirla da remoto.
La traduzione pratica di tutto questo sta in una frase. Se il router o la telecamera finisse arruolato in un botnet, in Francia nessuno verrebbe a ripulirlo al posto del proprietario, salvo un’operazione giudiziaria di grande portata. Nella migliore delle ipotesi arriverebbe un avviso, e il resto delle pulizie resterebbe a carico del diretto interessato, tanto più che un semplice ritorno alle impostazioni di fabbrica spesso basta a riaprire la porta ai pirati.