Alors que tous les regards se sont portés jusqu’à présent sur Cellebrite, qui avait signé un contrat avec le FBI le jour-même où l’administration américaine a indiqué à la justice qu’elle n’avait finalement pas besoin de l’aide d’Apple, la firme israélienne pourrait ne pas être le fournisseur de la solution qui a permis d’accéder au contenu de l’iPhone 5C du tueur de San Bernardino.
Le Washington Post rapporte ce mercredi, de sources « proches du dossier », que la méthode employée par le FBI pour contourner la sécurité de l’iPhone aurait été vendue à l’agence par des hackers professionnels, qui lui avaient déjà fourni par le passé au moins une faille de sécurité non documentée. La faille aurait été achetée à un prix forfaitaire, permettant son exploitation dans d’autres affaires.
Le quotidien américain précise que l’information obtenue aurait été « utilisée pour créer un matériel » qui permet de tester autant de codes PIN de déblocage que nécessaire jusqu’à trouver le bon, sans être freinés par les deux mesures de sécurité mises en place. D’abord, le contenu du téléphone risquait (selon que l’option est activée ou non) d’être effacé après 10 tentatives infructueuses. Et ensuite, plus il y a de tentatives infructueuses successives, plus l’iPhone impose un délai croissant pour tenter un nouveau code PIN.
Mais avec la méthode obtenue par le FBI, la découverte en force brute du code PIN est censée prendre au maximum 26 minutes. Une fois débloqué, le téléphone déchiffre automatiquement le contenu stocké, ce qui permet d’y accéder et de le copier pour le fournir aux enquêteurs.
Divulguer ou non la faille exploitée ?
La semaine dernière, le patron du FBI James Comey a expliqué lors d’une conférence que la faille obtenue était spécifique aux seuls iPhone 5C sous iOS 9, et que les autorités n’avaient pas encore décidé de communiquer ou non la faille à Apple, pour qu’elle soit corrigée. « Le FBI est très bon pour garder des secrets, et les gens à qui nous l’avons acheté, je les connais bien, et j’ai grande confiance sur le fait qu’ils sont très bons pour le protéger et que leurs motivations s’alignent avec les nôtres », avait-il affirmé. Un descriptif qui semblait davantage correspondre à Cellebrite qu’à des chasseurs de primes qui revendent des failles de sécurité aux plus offrants.
En fin d’année dernière, la startup française Zerodium, spécialisée dans l’acquisition et la revente de failles de sécurité, avait annoncé avoir versé 1 million de dollars pour acquérir une technique de jailbreak de iOS 9, gardée secrète.
En 2014, la NSA avait admis exploiter des failles de sécurité non documentées, qu’elle découvrait elle-même ou achetait à des tiers. « Divulguer une vulnérabilité peut vouloir dire que nous renonçons à la possibilité de collecter des informations cruciales qui pourraient contrecarrer une attaque terroriste, arrêter le vol de la propriété intellectuelle de notre pays, ou même permettre de découvrir des vulnérabilités plus dangereuses qui sont utilisées par les hackers ou d’autres adversaires pour exploiter nos réseaux », avait expliqué le coordinateur de la cybersécurité auprès de Barack Obama, Michael Daniel, dans un billet sur le site de la Maison de la Blanche.
Si le risque pour la sécurité et pour les libertés reste faible aux États-Unis, il est bien plus élevé dans des pays autoritaires
Daniel y détaillait une série de critères qui aidaient les autorités à décider, dans la plupart des cas, de divulguer les failles qui peuvent mettre en danger la sécurité des Américains eux-mêmes, lorsqu’elles sont exploitables par des groupes criminels ou des autorités étrangères. Parmi ces critères : existe-t-il d’autres moyens d’obtenir les informations voulues ? La faille peut-elle être corrigée ? Quel dommage une nation adverse ou un groupe criminel peut-il faire avec la connaissance d’une telle vulnérabilité ?
Dans son discours public, James Comey a estimé que les iPhone 5C sous iOS 9 ne représentaient qu’une « petite fraction » des téléphones, laissant entendre qu’y laisser une faille de sécurité serait un risque raisonnable. D’autant que la faille nécessite un accès physique au téléphone, ce qui limite d’autant le nombre d’individus concernés. Si le risque pour la sécurité et pour les libertés reste donc faible aux États-Unis, il est bien plus élevé dans des pays autoritaires, qui pourraient eux aussi avoir connaissance de la faille et vouloir l’exploiter au détour d’arrestations de dissidents politiques qui utiliseraient le téléphone d’Apple.
De son côté, Apple a annoncé qu’il ne demanderait pas en justice au gouvernement de lui dévoiler la faille exploitée. Probablement parce que ses chances de succès sont faibles, mais aussi pour limiter l’exposition médiatique d’une affaire qui clamerait au monde que les iPhone ne sont pas aussi bien protégés que le prétend la firme de Cupertino. Même si la sécurité a été nettement renforcée avec les iPhone 6, le message serait nécessairement troublé.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
