Discussion :

[Stan Adkens]

Une entreprise israélienne d'espionnage numérique affirme pouvoir accéder aux données de l'application Signal,
Considérée comme l'application mobile la plus chiffrée

Jeudi dernier, la société israélienne de piratage téléphonique Cellebrite a déclaré dans un billet de blog qu'elle peut désormais s'introduire dans Signal, une application gratuite pour Android et iOS qui permet de communiquer de façon chiffrée et sécurisée et qui est censée mettre les utilisateurs à l'abri des fouilles extérieures. Entre-temps, un rapport paru aux États-Unis la semaine dernière a révélé que des districts scolaires américains ont également acheté la technologie de la société.

La technologie de piratage téléphonique de Cellebrite est destinée aux forces de l'ordre et est vendue dans le monde entier. Cependant selon des précédents rapports, des personnes, qui se préoccupent du respect de la vie privée, ont longtemps reproché à la société de vendre ses produits à des États ayant un mauvais passé en matière de droits de l'homme, de l'Indonésie et du Venezuela à la Biélorussie et à l'Arabie saoudite.

Suite à des récents rapports dans le quotidien national israélien Haaretz selon lesquels la technologie de l'entreprise était utilisée par des fonctionnaires chinois pour espionner les militants prodémocratie à Hong Kong, Cellebrite a annoncé qu'elle ne fournirait plus de services à la Chine ou aux forces de police de la région administrative chinoise.

Le produit phare de Cellebrite est l'UFED (Universal Forensic Extraction Device), un système qui permet aux autorités de déverrouiller et d'accéder aux données de tout téléphone en leur possession. Un autre produit que la société propose est "Physical Analyzer", qui aide à organiser et à traiter les données relevées sur le téléphone. Jeudi dernier, la société a annoncé que ce dernier produit a été mis à jour avec une nouvelle fonctionnalité, développée par la société, qui permet aux clients de décoder les informations et les données de l’application Signal.

Signal, qui appartient à l’organisation sans but lucratif Signal Technology Foundation, utilise un système de chiffrement open source spécial appelé Signal Protocol, qui a été conçu pour rendre quasiment impossible à un tiers de s'introduire dans une conversation ou d'accéder aux données partagées sur la plateforme. Il le fait en utilisant ce que l'on appelle un "chiffrement de bout en bout".

« Signal est une application de communication chiffrée conçue pour protéger le plus possible les messages et les pièces jointes envoyés contre les programmes tiers. Signal utilise non seulement un chiffrement de bout en bout pour les données qu'il envoie, mais l'application utilise également un protocole de chiffrement propriétaire à source ouverte appelé "Signal Protocol". Les applications de ce type rendent extrêmement difficile l'analyse des données à des fins d'analyse médico-légale », lit-on dans le billet de blog publié jeudi par Cellebrite.

« Cellebrite Physical Analyzer permet désormais un accès légal aux données de l'application Signal. Chez Cellebrite, nous travaillons sans relâche pour permettre aux enquêteurs des secteurs public et privé de trouver de nouvelles façons d'accélérer la justice, de protéger les communautés et de sauver des vies », a ajouté la société.

Le protocole de chiffrement de bout en bout, également adopté par des organisations telles que Facebook, Skype et WhatsApp pour protéger ses utilisateurs, est offert par Signal pour sécuriser les fichiers envoyés sur sa plateforme, et pas seulement pour les messages. Cela en fait un outil particulièrement important pour des entités comme les journalistes.

Selon l'annonce de Cellebrite, « les forces de l'ordre constatent une augmentation rapide de l'adoption d'applications hautement chiffrées comme Signal, qui intègrent des capacités telles que le floutage des images pour empêcher la police d'examiner les données. Les criminels utilisent cette application pour communiquer, envoyer des pièces jointes et faire des affaires illégales qu'ils veulent garder discrètes et hors de vue des forces de l'ordre ».

Cellebrite permet un accès aux données privées jusqu’à ce que les développeurs de logiciels chiffrés soient obligés d’introduire une "porte dérobée"

Dans une version antérieure de l’annonce de Cellebrite, maintenant supprimée, on peut lire : « Déchiffrer les messages Signal et les pièces jointes n'était pas une tâche facile. Il a fallu mener des recherches approfondies sur de nombreux fronts différents pour créer de nouvelles capacités à partir de zéro. Chez Cellebrite, cependant, nous nous consacrons chaque jour à trouver de nouvelles façons d'aider ceux qui font de notre monde un endroit plus sûr ».

Le billet initial, qui a été conservé dans les archives d'Internet, comprenait également une explication détaillée de la manière dont Cellebrite a "craqué le code" - en examinant le propre protocole open source de Signal et en l'utilisant contre lui. La société a noté dans le billet supprimé du blog que « parce que [Signal] chiffre pratiquement toutes ses métadonnées pour protéger ses utilisateurs, les autorités légales ont fait des efforts pour exiger des développeurs de logiciels chiffrés qu'ils mettent en place une "porte dérobée" qui leur permet d'accéder aux données des gens. En attendant que de tels accords soient conclus, Cellebrite continue à travailler avec diligence avec les forces de l'ordre pour permettre aux agences de déchiffrer et de décoder les données de l'application Signal ».

Une première version de l'UFED à partir de 2016

Concernant la question de savoir pourquoi le poste initial a été supprimé, Cellebrite a déclaré, selon Haaretz, que « L'article initial du blog sur le site de la société a été remplacé parce qu'il s'agissait d'un brouillon interne ».

Cette nouvelle est arrivée la semaine dernière alors qu’un rapport de Gizmodo publié vendredi dernier a révélé qu'au moins huit districts scolaires des États-Unis - dont Los Angeles, qui compte plus de 60 000 élèves, ainsi que sept autres districts du Texas - achetaient des outils "médico-légaux mobiles" à Cellebrite. Selon des rapports publiés aux États-Unis, plus de 2000 forces de police américaines utilisent ces outils. Cependant, le rapport Gizmodo est la première fois qu'il est démontré qu'ils sont utilisés dans les établissements scolaires - par exemple, pour aider à protéger les enfants.

Selon Haaretz, l'avocat israélien des droits de l'homme, Eitay Mack, a récemment mené une guerre contre Cellebrite, tentant de forcer l'État à soumettre la technologie de la firme aux mêmes réglementations que celles utilisées pour les ventes d'armes. Mack et d'autres activistes pensent que, par exemple, les ventes à l'Indonésie soulignent la nécessité d'une surveillance efficace de l'exportation de technologies "à double usage" comme celle de Cellebrite. La technologie "à double usage" désigne une technologie qui peut être utilisée à la fois à des fins militaires et commerciales.

Cellebrite n'est pas actuellement soumise à une surveillance indépendante. Elle effectue ses propres examens et tient sa propre liste noire des pays auxquels il est "interdit" de vendre des technologies, a rapporté Haaretz en citant des sources ayant connaissance des affaires de l'entreprise.

En réponse à des rapports précédents concernant ses activités, Cellebrite a déclaré : « Notre technologie sert 154 pays et a rendu possibles des condamnations dans plus de 5 millions de cas de crimes graves, tels que le meurtre, le viol, la traite des êtres humains et la pédophilie. Nous ne fournissons pas d'informations sur nos clients et leurs activités. Nous ne fournissons nos solutions qu'aux agences autorisées, et nous appliquons une série d'outils qui dictent la manière dont ils peuvent être utilisés. En outre, nous travaillons dans le respect d'une politique claire et de règles internationales acceptées afin d'empêcher toute relation d'affaires avec des agences soumises à des restrictions internationales ».

En réponse au dernier rapport de Gizmodo, Cellebrite a déclaré, selon Haaretz, que « les services de police du monde entier ont signalé une augmentation de l'utilisation du Signal par des éléments criminels. Cellebrite exige des agences et des organisations chargées de l'application de la loi qui utilisent sa technologie qu'elles respectent la législation locale. Dans les cas extrêmes où notre technologie est utilisée d'une manière qui n'est pas conforme aux lois locales, nous prenons des mesures fermes, notamment en coupant les liens avec la partie concernée ».

« Chaque organisation avec laquelle nous travaillons est soumise à un examen approfondi pour s'assurer que nos solutions ne serviront qu'à elle et aux fins pour lesquelles elles ont été développées. Les utilisateurs sont également tenus de signer un engagement à respecter nos conditions d'utilisation strictes », a rapporté le quotidien.

En juin 2019, Cellebrite a fièrement annoncé une version Premium de son dispositif universel d'extraction de données médico-légale UFED. Il a aussi dit que cette mise à jour de son outil pouvait déverrouiller n'importe quel périphérique iOS sur lequel les autorités peuvent mettre la main, y compris ceux qui utilisent iOS 12.3, qui venait juste de sortir à l’époque. UFED Premium serait également capable d’extraire des fichiers de nombreux téléphones Android récents, y compris le Samsung Galaxy S9.

Sources : Cellebrite, Article supprimé du blog

Et vous ?

Que pensez-vous des nouvelles capacités des outils de Cellebrite qui permettent d’accéder aux données de l'application Signal ?
Que pensez-vous de la vente officielle de cette technologie aux autorités gouvernementales ?
Cellebrite soumet à un examen approfondi ses partenaires commerciaux pour assurer le bon usage de ses produits. Quel commentaire faites-vous de ceci ?

Voir aussi :

L'entreprise israélienne Cellebrite serait la « partie tierce » évoquée par le FBI, pour déverrouiller l'iPhone de l'auteur de l'attentat de S.B
Cellebrite a annoncé publiquement qu'il peut maintenant débloquer n'importe quel iPhone pour les autorités, grâce à son nouvel outil UFED
Une entreprise israélienne annonce sa capacité à déverrouiller tous les dispositifs Apple, qui tournent sous iOS 5 à 11
France : 500 commissariats seront équipés d'un système capable d'aspirer et de traiter toutes les données d'un téléphone portable, en moins de dix minutes

[marsupial]

Si seulement cette entreprise pouvait permettre l'abrogation des lois anti-chiffrement mais même pas. Il est dangereux pour les libertés de casser le chiffrement pour accéder à la vie privée des personnes.

[nostrora]

Il n'ont pas du tout cassé le chiffrement de signal.
Ils ont cherché comment décoder la base de données locale de l'application dans le code source, en ayant un accès complet aux données sur le téléphone. Ce n'est pas "casser" quoi que ce soit, c'est ouvrir la porte de votre appartement avec la clé que votre propriétaire vous a donnée.

C'est un article horrible, à la fois techniquement et dans son encadrement. J'exhorte les gens à ne pas partager la peur et le FUD général comme ça !

Ils ont depuis retiré l'article, mais quand je l'ai lu auparavant, les techniques qu'ils utilisaient impliquaient qu'ils avaient un accès root au téléphone (c'est-à-dire qu'ils lisaient des fichiers d'applications privées et avaient accès à la clé Android Keystore). Si quelqu'un a un accès root à votre appareil, c'est à peu près terminé. Il peut faire bien pire que simplement lire vos messages Signal à ce moment-là. Sans compter que si quelqu'un a un accès root à votre téléphone, il pourrait simplement... lire vos messages, comme dans l'application.

Bref rien à craindre

[Fagus]

Si quelqu'un a un accès root à votre appareil, c'est à peu près terminé. Il peut faire bien pire que simplement lire vos messages Signal à ce moment-là. Sans compter que si quelqu'un a un accès root à votre téléphone, il pourrait simplement... lire vos messages, comme dans l'application.

Bref rien à craindre

Rien à craindre si "on n'a rien à cacher"
Je veux bien croire que signal empêche les sociétés de la taille du FAI de lire les communications, mais un attaquant de la taille d'un état j'ai du mal à le croire.
Si l'on croit les intervenants ayant des accointances avec les renseignements et qui témoignent sur thinkerview, il paraît que la crypto commerciale ordinaire contient des backdoors, il paraît que lire les communications n'est généralement pas un problème. Il paraît qu'utiliser de la vraie crypto est comme allumer un phare dans la nuit... "Il paraît" et je ne suis pas dans le secret des dieux.

Certains protocoles et algo crypto sont sûrs a priori, mais historiquement, les communications ont déjà été déchiffrées par contournement. Historiquement, les communications SSL pouvaient être cassées je crois en poussant les clients à basculer sur des algo faibles par ex. Ou bien il y a eu diverses attaques sur le générateur de nombres aléatoires, ou des manipulations qui permettaient de diminuer l'entropie des clés.

Qui peut garantir que le téléphone n'est pas corrompu, qu'il n'y a aucun moyen de corrompre la mise à jour des appli ? Il y a déjà eu un "bug" signalé qui permettait de contourner la signature des APK pendant des années... Certaines boîtes d'outils de sécurité qui vendent aux états se vantent de pouvoir pénétrer dans n'importe quel téléphone commercial (et d'ailleurs, pourquoi les boites secret-défense utiliseraient-elle des téléphones durcis, où les applications chiffrées ordinaires sont bloquées ?)

[PaulHymer]

Si j'étais une entreprise israélienne d'espionnage et que j'ai accès aux données de Signal. Je fermerai ma gueule et je surveillerai. Le but de cette entreprise est juste pour faire le buzz.

[lino8288]

je partage l'avis de PaulHymer
quel intérêt de communiquer sur une technologie qui est censée être discrète ?
c'est improductif sauf s'il s'agit de marketing, et encore, quand c'est secret et confidentiel c'est plus cher
la grenouille se serait elle fait plus grosse que le boeuf ?
en tout cas cette info fait froid dans le dos et nous rappelle que la SF avait des visions qui prennent de plus en plus de réalité

[Stan Adkens]

Non, Cellebrite ne peut pas « casser le chiffrement de Signal », a répondu le créateur de l’application,
« Il s’agit d’une situation où quelqu'un tient un téléphone déverrouillé dans ses mains »

Plus tôt ce mois, la société israélienne de piratage téléphonique Cellebrite a déclaré dans un billet de blog qu'elle peut désormais s'introduire dans Signal, une application gratuite pour Android et iOS, qui permet de communiquer de façon chiffrée et sécurisée et qui est censée mettre les utilisateurs à l'abri des fouilles extérieures. Une version plus longue d’un billet de blog technique publié un peu plus tôt avec le titre "La nouvelle solution de Cellebrite pour déchiffrer l'application Signal" avait vite été remplacée par une version plus courte qui a supprimé les détails techniques.

Cellebrite a étonné le secteur de la sécurité en affirmant qu'il a réussi à "craquer" le chiffrement de l'une des applications de messagerie les plus sûres du marché grâce à une mise à jour de l’un de ses produits. « "Cellebrite Physical Analyzer" permet maintenant un accès légal aux données de l'application Signal », a-t-il écrit. « Chez Cellebrite, nous travaillons sans relâche pour permettre aux enquêteurs des secteurs public et privé de trouver de nouvelles façons d'accélérer la justice, de protéger les communautés et de sauver des vies ».

Dans le premier billet de blog supprimé (qui a été conservé dans les archives d'Internet), la société affirmait que son produit Universal Forensic Extraction Device (UFED) pouvait accéder, extraire et analyser les données des téléphones portables en utilisant l'application. Il affirmait pouvoir déchiffrer les messages de l'application de chat et d'appel vocal hautement sécurisée de Signal, se vantant de pouvoir perturber les communications des « membres de gangs, des trafiquants de drogue et même des manifestants ».

Toutefois, Signal est utilisé par beaucoup d'autres personnes préoccupées par le respect de la vie privée (journalistes, etc.), et pas seulement par des criminels.

Le billet original du blog de Cellebrite fournissait une explication technique sur la façon dont ses chercheurs ont trouvé une clé de déchiffrement qui leur ont permis d'accéder aux messages que Signal stocke dans sa base de données. Il décrit ensuite comment il a recherché dans le code open source de Signal des indices sur la manière de pirater la base de données.

L’un des derniers rapports sur la mise à jour de Cellebrite est un article de BBC publié le mardi dernier. « Nous avons finalement trouvé ce que nous cherchions », c’est l’un des passages de l’article de blog supprimé que BBC a cité. Le passage était accompagné d’une explication complète de la manière dont la société a procédé. C’est d’ailleurs suite à l’article de BBC que Moxie Marlinspike, créateur de Signal, a réagi mercredi, après une première réponse sur Twitter le 11 décembre.

Si vous avez votre téléphone physiquement dans vos mains, vous ne devrez pas être préoccupé par Cellebrite, d’après Marlinspike

Il reste à voir si Cellebrite a vraiment réussi à accéder à la clé de déchiffrement de Signal, car celle-ci est généralement bien protégée. Il semble plutôt que l'exploit prétend avoir fonctionné via un téléphone Android déverrouillé, mais Cellebrite a considérablement modifié son blog original sur la question, ce qui a conduit à des points d'interrogation sur la fiabilité de sa déclaration initiale.

La prétention de Cellebrite a été rapidement rejetée par le créateur de l’application de messagerie, Moxie Marlinspike, sur Twitter. « Il s'agissait d'un article sur les "techniques avancées" utilisées par Cellebrite pour décoder un message Signal sur un appareil Android non verrouillé », a-t-il tweeté en réponse à une personne lui signalant la revendication de Cellebrite. « Ils auraient pu aussi simplement ouvrir l'application pour regarder les messages ». « L'article entier se lisait comme un travail d’amateur, ce qui est, je suppose, la raison pour laquelle ils l'ont supprimé », a ajouté Marlinspike.

Dans son article de Blog, Marlinspike a qualifié la "découverte" de Cellebrite comme une situation où quelqu'un tient un téléphone déjà déverrouillé dans ses mains et pourrait simplement ouvrir l'application pour regarder les messages qu'il contient. « Leur article portait sur le fait de faire la même chose par programmation (ce qui est tout aussi simple), mais ils ont écrit un article entier sur les "défis" qu'ils ont relevés, et ont conclu que « ... cela a nécessité des recherches approfondies sur de nombreux fronts différents pour créer de nouvelles capacités à partir de zéro ».

« Cela nous a fait nous gratter la tête. Si cela a nécessité des "recherches", cela n'inspire pas beaucoup d'admiration pour leurs capacités existantes », a écrit le développeur de Signal.

« Il est difficile de savoir comment un poste comme celui-ci a été créé ou pourquoi quelqu'un a pensé que révéler des capacités aussi limitées était dans son intérêt. En se basant sur l’article initial, Cellebrite a dû se rendre compte que le travail d’amateur n'était pas bon et le poste a été rapidement démantelé. Ils ont ensuite dû se rendre compte qu'une erreur 404 n'est pas mieux, et l'ont à nouveau remplacée par un vague résumé », a-t-il ajouté.

En trois points, Marlinspike a décrit dans son article ce qui s'est réellement passé avec Cellebrite :

Si vous avez votre appareil, Cellebrite n’est pas une préoccupation pour vous. Il est important de comprendre que toute l’histoire sur Cellebrite Physical Analyzer commence par une personne autre que vous qui tient physiquement votre appareil, avec l'écran déverrouillé, dans ses mains. Cellebrite n'essaie même pas d'intercepter les messages, la voix/vidéo, ou la communication en direct, et encore moins de "casser le chiffrement" de cette communication. Ils ne font pas de surveillance en direct d'aucune sorte.

Cellebrite n'est pas magique. Imaginez que quelqu'un tienne physiquement votre appareil, avec l'écran déverrouillé, dans ses mains. S'ils voulaient créer un enregistrement de ce qui se trouve sur votre appareil à ce moment-là, ils pourraient simplement ouvrir chaque application de votre appareil et prendre des captures d'écran de ce qui s'y trouve. C'est ce que fait Cellebrite Physical Analyzer. Il automatise le processus de création de ce dossier. Cependant, comme il est automatisé, il doit savoir comment chaque application est structurée, donc il est en fait moins fiable que si quelqu'un ouvrait simplement les applications et prenait manuellement les captures d'écran. Ce n'est pas de la magie, c'est un logiciel d'entreprise médiocre.

Cellebrite n'a pas "accidentellement" révélé ses secrets. Cet article et d'autres ont été écrits sur la base d'une mauvaise interprétation d'un billet de blog de Cellebrite sur l'ajout de la prise en charge de Signal dans Physical Analyzer. Cellebrite a posté quelque chose avec beaucoup de détails, puis l'a rapidement retiré et remplacé par quelque chose qui n'a pas de détails. Ce n'est pas parce qu'ils ont "révélé" quelque chose sur une technique super avancée qu'ils ont développée (rappelez-vous, c'est une situation où quelqu'un pourrait simplement ouvrir l'application et regarder les messages). Ils l'ont enlevé pour la raison inverse : cela leur donnait une mauvaise image. Les articles sur ce post auraient été mieux intitulés "Cellebrite révèle accidentellement que leurs capacités techniques sont aussi ruinées que leur fonction dans le monde".

Certains pourraient se demander pourquoi Cellebrite a d’abord décidé de divulguer publiquement la question en premier, alors qu'il aurait dû suivre l'option responsable et alerter discrètement Signal qu’il y avait une certaine possibilité d’accéder aux données dans l’application. Pour rappel, Cellebrite est la société qui aurait proposé son aide au FBI en 2016 afin d’accéder à l'iPhone verrouillé appartenant au terroriste de San Bernardino, après qu’Apple ait refusé de se plier aux injonctions du tribunal.

Sources : Signal, Tweet

Et vous ?

Qu’en pensez-vous ?
La prise en charge de Signal dans Physical Analyzer de Cellebrite portait sur une situation où quelqu'un d’autre que le propriétaire tient un téléphone déjà déverrouillé dans ses mains, d’après le créateur de l’application. Quel commentaire en faites-vous ?
Est-il nécessaire, toutefois, que Signal apporte une correction dans l’application ou pas du tout ?

Voir aussi :

Une entreprise israélienne d'espionnage numérique affirme pouvoir accéder aux données de l'application Signal, considérée comme l'application mobile la plus chiffrée
Une entreprise israélienne annonce sa capacité à déverrouiller tous les dispositifs Apple, qui tournent sous iOS 5 à 11
Cellebrite a annoncé publiquement qu'il peut maintenant débloquer n'importe quel iPhone pour les autorités, grâce à son nouvel outil UFED
L'entreprise israélienne Cellebrite serait la « partie tierce » évoquée par le FBI, pour déverrouiller l'iPhone de l'auteur de l'attentat de S.B