Pendant des années, il fallait s’enfoncer dans les allées professionnelles des salons des nouvelles technologies pour espérer rencontrer une startup qui prétendrait pouvoir hacker un smartphone iOS ou Android verrouillé et chiffré, le tout au service des forces de l’ordre. La pratique, qui n’avait alors rien de glorieux, a changé de camp côté communication : aujourd’hui, les leaders du marché n’hésitent pas à faire une publicité massive à leurs solutions. Après GrayKey qui a beaucoup fait parler de lui, c’est Cellebrite qui annonce le 14 juin 2019 son nouveau service : déverrouiller tous les iPhone jusqu’à iOS 12.3 et un bon nombre de smartphones Android.

UFED Premium is the new GrayKey

Le service nommé « UFED Premium » par l’entreprise de sécurité israélienne n’est pas bavard sur les techniques qu’il emploie pour arriver à ses fins. Tout juste peut-on lire que UFED Premium utilise « des algorithmes qui minimisent le nombre de tentatives de déverrouillage d’un appareil  » et que le résultat pour les forces de l’ordre est « un accès complet aux données contenues sur un iPhone  ».

La seconde affirmation est logique si la première est menée à bien : c’est le mot de passe de l’utilisateur qui chiffre les données d’un iPhone. Si le code est trouvé par un attaquant, alors les données sont déchiffrées sur l’appareil et il peut alors avoir accès aux messages, photos et autres applications qui ne demanderaient pas de mot de passe. C’est la même procédure sur les smartphones Android qui procèdent à un chiffrement des données, comme ceux de Samsung que Cellebrite affirme pouvoir déverrouiller.

Dans la présentation de son service, c’est clairement aux forces de l’ordre que Cellebrite compte vendre son dispositif, précisant qu’il permettra de « retrouver des preuves qui pourront mener à une arrestation  ». Comme le rappelle Wired, Cellebrite est une entreprise soutenue financièrement et dans ses projets de recherche en sécurité par de nombreux gouvernements et agences de renseignement.

Cette nouvelle annonce pose un véritable problème pour Apple, qui a misé énormément sur la sécurisation de ses appareils grand public. Vie privée, chiffrement des fichiers et des communications, absence de collectes de données, puce matérielle pour assurer la sécurité de l’OS… ce sont toutes les promesses faites par Apple. Si, du côté de la collecte des données, les déclarations de Cellebrite ne changent rien, elles rappellent que du côté du chiffrement et de l’accès aux données sur un iPhone, la plus grande vulnérabilité reste le mot de passe choisi par l’utilisateur pour déverrouiller son appareil. C’est ce maillon faible que les entreprises attaquent.

Apple n’a pas communiqué sur cette nouvelle méthode, mais on se souvient que lors de l’affaire GrayKey, le géant avait décidé de modifier le comportement d’un iPhone connecté à une prise USB pour empêcher les boîtiers de l’entreprise de fonctionner. C’est en exploitant une faiblesse sur ce processus que GrayKey pouvait faire plus de tentatives de mot de passe que ce qui est autorisé par iOS. Comme Cellebrite annonce pouvoir prendre le contrôle d’appareils sous iOS 12.3, la dernière version publique d’iOS, il est probable qu’une autre méthode soit employée.

Un risque pour tous les usagers

Reste que, au-delà du jeu du chat et de la souris incessant que se livrent les entreprises sérieuses de la tech et les forces de l’ordre sur ces sujets, un détail de l’offre de Cellebrite inquiète : l’outil est proposé sur site (on premise en anglais). Cela signifie que Cellebrite déplace son matériel sur commande ou, comme GrayKey, le laisse sur site pour une utilisation illimitée soumise à contrat. C’est une faille dans le processus de sécurité de l’entreprise israélienne : elle peut se faire voler sa technologie à tout moment par des acteurs qui auraient d’autres intérêts à déverrouiller des smartphones qu’amener des preuves dans des affaires criminelles.

C’est pour cela que Tim Cook, patron d’Apple, est très ferme sur le chiffrement sans backdoor des iPhone : il ne veut pas que quiconque ait accès aux données des utilisateurs, pour de bonnes ou de mauvaises raisons.