Une entreprise spécialisée dans le piratage de smartphones estime qu'il n'y a aucun dispositif sur le marché
qui n'est inviolable
Durant le bras de fer qui a opposé le FBI à Apple concernant l’accès aux données de l’iPhone 5C de l’affaire San Bernardino, l’entreprise israélienne Cellebrite a été évoqué comme étant la partie tierce qui a aidé les forces de l’ordre à déverrouiller le dispositif. Bien que certains rapports ont démenti la participation de Cellebrite et que l’israélien lui-même s’est refusé à tout commentaire, cette affaire a permis de mettre un peu plus la lumière sur l’arsenal dont dispose l’entreprise réputée dans la communauté de la sécurité.
Récemment, Cellebrite a donné un aperçu de ses prouesses techniques devant des journalistes d’AFP : en quelques secondes, le mot de passe d’un LG G4 tournant sur Android a été désactivé et les photos récentes prises avec le téléphone se sont affichées sur l’écran d’un ordinateur avec leur localisation et l’heure à laquelle elles ont été prises. Ce modèle faisait partie de ceux sur lequel le spécialiste avait déjà travaillé, raison pour laquelle le piratage a été si rapide. Notons également que le piratage à distance n'est pas une spécialité de Cellebrite.
De plus, Leeor Ben-Peretz, l’un des cadres dirigeants de l’entreprise, a assuré qu’il leur est possible de récolter un éventail d’informations des téléphones, allant du contenu des messages texte à des détails potentiels de l'endroit où une personne était à un moment donné. Même les messages supprimés des années auparavant peuvent être récupérés. « Dans certains périphériques, même si vous formatez l'appareil et que vous croyez que les données sont supprimées, une partie importante de celles-ci existe encore », a rappelé Ben-Peretz.
Dans les laboratoires de l’entreprise, qui a des contrats dans plus de 115 pays dans le monde, contrats parmi lesquels figurent plusieurs gouvernements, forces de l’ordre ou encore entreprises privées, Cellebrite dispose de plus de 15 000 modèles de téléphones. D’ailleurs, chaque mois, de nouveaux modèles s’ajoute à une fréquence comprise entre 150 et 200 selon Ben-Peretz qui a expliqué qu’une équipe de 250 chercheurs s’attèlent à trouver des failles exploitables. Un processus qui peut durer des jours voire des mois. Quoiqu’il en soit, il affirme « qu’il existe de nombreux dispositifs que nous sommes les seuls acteurs dans le monde à pouvoir déverrouiller ».
Selon lui, il n’y a aucun smartphone disponible sur le marché qui n’est inviolable, même s’il conçoit que la sécurité s’avère plus perfectionnée avec le temps : « oui ça devient plus difficile, ça devient plus complexe, mais nous continuons de fournir des résultats et il y a des résultats sur les derniers dispositifs tournant sur les derniers systèmes d’exploitation ».
L’iPhone représente un défi particulier étant donné que, contrairement à la concurrence, Apple contrôle tout, du matériel au logiciel. Comme le note le professeur Yong Wang de la Dakota State University, cela rend cette technologie particulièrement difficile à pirater. Pourtant, Ben-Peretz reste confiant en la capacité de son entreprise à pirater même le nouvel iPhone : « les appareils iOS disposent de solides mécanismes de sécurité qui constituent un défi, mais si quelqu'un peut les affronter et fournir une solution aux forces de l’ordre c’est bien Cellebrite ».
Face à des entreprises comme Cellebrite, des organismes de défense des droits de l’homme ont évoqué la crainte que leur technologie puissent être utilisée par des régimes dictatoriaux : « toute entreprise, y compris Cellebrite, a la responsabilité de s’assurer que ses activités commerciales ne contribuent pas ou ne profitent pas à des violations des droits de l’homme », a déclaré Sari Bashi, directeur de Human Rights Watch. Ce à quoi Ben-Peretz a répondu en disant que l’entreprise procède systématiquement à une analyse de ses clients et ce toujours dans les respects des lois locales, mais que les gouvernements sont les premiers responsables en cas de dérive.
« Observez n’importe quel régime ou régime potentiel dans le monde : pourriez-vous faire quelque chose pour les empêcher de jeter une pierre sur quelqu'un ou de foncer sur la foule ç bord d’une voiture ? Vous ne pouvez pas blâmer le constructeur automobile à ce moment-là pour avoir livré une voiture qui a été utilisée pour commettre ce genre de crime ». Mais Bashi estime que cet exemple ne convient pas, d’autant plus que les voitures sont produites en masse tandis que, dans le contexte des contrats de surveillance, le nombre de clients est limité.
Source : Phys
Partager