La Gendarmerie Royale du Canada (GRC) a utilisé la clé maître de Blackberry pour déchiffrer plus d'un million de messages échangés sur Blackberry Messenger, entre 2010 et 2012. La clé est peut-être toujours utilisée aujourd'hui par les particuliers.

Si vous utilisez encore un Blackberry et croyez que la confidentialité de vos messages est assurée par le système de chiffrement mis en place sur Blackberry Messenger (BBM), revoyez vos certitudes. Tous les messages échangés entre particuliers utilisent une même clé globale, intégrée aux téléphones Blackberry, et cette clé n’est pas secrète pour tout le monde.

blackberry

Vice rapporte en effet ce jeudi que des documents judiciaires prouvent qu’au moins la police canadienne a eu accès, et a peut-être toujours accès, à la clé globale utilisée pour chiffrer et déchiffrer l’ensemble des messages échangés sur BBM. Seuls les clients professionnels qui utilisent leur propre clé définie dans leur réseau BlackBerry Enterprise Server seraient épargnés.

« Plus d’un million de messages privés ont été interceptés et analysés »

La révélation (ou plutôt la confirmation) est issue des minutes du procès pour meurtre en bande organisée de sept membres de la mafia italienne, identifiés dans le cadre du « Projet Clemenza » révélé en 2014. « C’est grâce à l’interception de communications électroniques sur BlackBerry (messagerie Pin to Pin) que les enquêteurs ont pu identifier les suspects en lien avec plusieurs crimes violents commis sur le territoire de la Ville de Montréal entre 2010 et 2012 : incendies criminels, cache d’armes, séquestration, trafic de drogue, gangstérisme et complot », avait écrit à l’époque la Gendarmerie Royale du Canada (GRC).

«  Plus d’un million de messages privés ont été interceptés et analysés en preuve à l’aide de la technique d’interception PIN to PIN. C’est la première fois que cette technique est utilisée à aussi grande échelle dans le cadre d’une enquête d’envergure en Amérique du Nord », avait-elle ajouté.

L’origine mystérieuse de la clé

Depuis, la GRC luttait pour qu’on ne sache pas comment l’opération avait pu être montée. Or les avocats de la défense exigeaient de connaître la méthode, pour vérifier que les messages prétendument interceptés étaient bien les vrais.

Les documents obtenus par Vice montrent que la GRC a bien eu en sa possession la clé de chiffrement utilisée par Blackberry, et qu’elle a fait tourner entre 2010 et 2012 un serveur basé à Ottawa, pour déchiffrer les messages interceptés avec la clé maître de Blackberry. Ces messages chiffrés ont pu être obtenus, soit par dérivation des flux des opérateurs mobile destinés à des numéros identifiés au préalable par des IMSI-catchers, soit directement par Blackberry.

John Chen, CEO de Blackberry
John Chen, CEO de Blackberry

Il est certain, selon les déclarations de la police canadienne et les procédures judiciaires archivées, que Blackberry a été appelé à coopérer dans le cadre du Projet Clemenza. La justice a émis à l’égard du constructeur canadien des « lettres de confort » confidentielles, pour lui demander d’assister les techniciens de la GRC (la procédure méconnue est très similaire au All Writs Act de 1789 que le FBI souhaite mettre en œuvre contre Apple aux États-Unis). En revanche, l’étendue de la coopération reste inconnue.

Blackberry du côté des bons contre les méchants

On ne sait pas si Blackberry a fourni lui-même les messages et la clé maître, ou si la police canadienne a procédé autrement. Mais le fait est qu’elle a en sa possession la clé, qui est peut-être toujours la même que celle utilisée aujourd’hui pour l’échange de messages avec le Blackberry Messenger de base, utilisé par des particuliers du monde entier. Tout au long du procès, la police a refusé d’expliquer d’où venait la clé.

De tous les constructeurs de téléphones dans le monde, Blackberry avait été le seul à prendre partie pour le FBI contre Apple, en décembre 2015. « Le paysage s’assombrit quand des entreprises mettent leur réputation au dessus de l’intérêt général », avait écrit John Chen, le PDG de Blackberry, dans une lettre ouverte. « La vie privée et la sécurité sont au centre de ce que nous faisons. Toutefois, notre engagement en faveur de la vie privée ne s’étend pas aux délinquants », ajoutait-il.

Partager sur les réseaux sociaux

Articles liés