Les policiers de la planète doivent être contents. Depuis des années, ils n’arrêtent pas de se plaindre du chiffrement des smartphones et des complications que cela entraîne pour leurs enquêtes. Mais un cadeau vient apparemment de leur tomber du ciel. Selon Forbes, l’entreprise israélienne Cellebrite est désormais en capacité d’extraire les données de n’importe quel iPhone, même les derniers (iPhone 8, iPhone X).

C’est en tous les cas le message que les commerciaux de Cellebrite sont en train de diffuser auprès des forces de l’ordre. C’est également ce qui transparait sur les brochures commerciales, où Cellebrite affirme pouvoir accéder « aux appareils et aux systèmes Apple iOS, dont l’iPhone, l’iPad, l’iPad mini, l’iPad Pro et l’iPad Touch, de la version iOS 5 à iOS 11 ».

D’ailleurs, il semblerait que cette technique d’extraction avancée a déjà été appliquée sur un iPhone X. Dans un mandat de perquisition révélé par Forbes, on apprend qu’un tel appareil a récemment été analysé avec succès par une fonctionnaire de police dont il est précisé qu’elle a reçu une formation Cellebrite.

Cette nouvelle technique d’extraction n’est pas librement disponible au travers des logiciels vendus par Cellebrite. C’est un service spécial facturé 1500 dollars par iDevice. Et pour en bénéficier, il faut se rendre dans les laboratoires de l’entreprise. La raison est claire : pas question de mettre la technique dans les mains des clients et prendre le risque qu’ils devinent la nature de la faille sous-jacente.

Car cette capacité hors du commun a dû coûter bonbon à Cellebrite, à moins qu’elle l’ait développé elle-même. Les failles iPhone sont celles qui se vendent le plus cher sur le marché des vulnérabilités. La société Zerodium, par exemple, est prêt à payer jusqu’à 1,5 million de dollars pour une technique de piratage iPhone.

Mais vu à quel point le chiffrement provoque des maux de tête aux enquêteurs, il est probable que Cellebrite va vite rentabiliser son investissement. Selon Forbes, le département de la sécurité nationale (DHS) n’a pas hésité à payer 2 millions de dollars l’année dernière pour utiliser sa technologie.

Beaucoup de questions restent sans réponse

Cellebrite serait donc désormais la solution miracle pour les forces de l’ordre ? Pas si sûr. Comme le souligne le cryptographe Bruce Schneier, il y a encore trop d’éléments inconnus dans cette histoire pour réellement pouvoir juger de la capacité supposée de Cellebrite. « Nous ne savons pas ce que qui a réellement été extrait de ces téléphones. S’agissait-il de données ou de métadonnées ? Et de quels types de données ou de métadonnées parle-t-on ? », se demande-t-il dans son blog.

Selon lui, une rumeur circule comme quoi la nouvelle technique de Cellebrite ne permet que de contourner la limitation du nombre de tentatives d’entrées de mots de passe, mais pas de copier les données stockées sur un autre support et d’effectuer une attaque sur le chiffrement par force brute. « Si c’est vrai, les bons mots de passe sont toujours en sécurité », explique-t-il. Et les données toujours protégées.     

Cet article a été importé d’un feed RSS, cliquez-ici pour voir l’article original