Cellebrite demande à la police de garder secrète sa technologie de piratage de téléphones
(techcrunch.com)- Cellebrite fournit depuis longtemps une technologie de piratage de téléphones utilisée par les services d’enquête du monde entier pour déverrouiller des mobiles et en extraire des données, et l’entreprise a demandé à ses clients de traiter discrètement cette technologie et son usage
- Dans une vidéo de formation destinée aux forces de l’ordre ayant fuité, un employé explique vouloir éviter les situations où les méthodes d’accès seraient révélées via les procédures de divulgation judiciaire ou les témoignages
- Des experts juridiques estiment que ce secret brouille les mandats de perquisition, l’admissibilité des preuves et la capacité de la défense à les contester, affaiblissant ainsi la transparence de la procédure pénale
- Cellebrite a répondu que ses outils étaient conçus pour un usage légal, la chaîne de conservation des preuves et le respect de la procédure judiciaire, mais n’a pas indiqué si le contenu de la formation allait être modifié
- Comme dans le précédent des accords de confidentialité autour des stingray de Harris Corporation, les puissantes technologies d’enquête mettent en collision frontale la protection du secret commercial et l’exigence d’un contrôle contradictoire devant les tribunaux
La demande de confidentialité dans une vidéo de formation de Cellebrite
- La technologie de Cellebrite est utilisée par la police et des agences gouvernementales pour déverrouiller des téléphones mobiles et obtenir les données qu’ils contiennent
- L’entreprise demande à ses clients publics de garder secrètes sa technologie et l’existence même de son utilisation
- Dans une vidéo de formation ayant fuité et destinée aux clients des forces de l’ordre, la confidentialité et la sécurité opérationnelle sont soulignées avant l’usage de Cellebrite Premium
- Cellebrite Advanced Services y est présenté comme disposant de 10 laboratoires dans 9 pays
- Les fonctions de Premium sont décrites comme le secret commercial de Cellebrite, qui doit être protégé pour permettre aux forces de l’ordre de continuer à en bénéficier
- Les clients sont invités à traiter ces techniques comme “law enforcement sensitive” ou à les classer à un niveau de protection supérieur selon les règles de leur pays ou de leur organisme
Éviter la divulgation et les témoignages au tribunal
- Le cœur du message de la vidéo est d’éviter que les techniques ne soient exposées devant un tribunal
- Il est expliqué que, « au final, ce qui compte, c’est d’avoir extrait les données, et ce sont ces données qui permettent de résoudre le crime »
- La manière « d’être entré » doit rester autant que possible hush hush
- L’employé dit ne pas vouloir de situation où la méthode d’accès au téléphone serait discutée lors d’une procédure de divulgation judiciaire ou d’un témoignage, au risque de laisser fuiter la technologie
- Il est aussi conseillé de limiter au strict minimum la documentation écrite
- Les rapports judiciaires ne devraient contenir que les informations minimales nécessaires pour qu’un profane comprenne le principe général
- Il est possible de mentionner l’usage de Premium et sa version, mais pas ce qui a été fait sur le téléphone ni les détails affichés dans l’interface graphique de Premium
- Il est en outre averti que les documents de procédure opérationnelle standard peuvent eux aussi être visés par des audits externes ou des demandes d’accès à l’information
- audits externes ISO 17025
- demandes au titre du Freedom of Information Act selon les lois propres à chaque organisme ou pays
Les risques procéduraux vus par les experts du droit
- Des spécialistes du droit estiment que des technologies puissantes comme celles de Cellebrite, ainsi que la manière dont elles sont utilisées par les forces de l’ordre, doivent pouvoir être rendues publiques et vérifiées
- Riana Pfefferkorn, du Stanford University Internet Observatory, souligne que les résultats produits par ce type d’outil servent à établir la culpabilité dans les procès pénaux
- La défense doit pouvoir, avec l’aide d’avocats ou d’experts, comprendre et examiner le fonctionnement d’un appareil Cellebrite
- Elle doit pouvoir déterminer si l’outil a correctement fonctionné et s’il comportait des défauts susceptibles d’avoir influé sur les résultats
- Une personne qui témoigne sous serment ne doit pas cacher à l’accusé des informations importantes susceptibles de lui être favorables dans le but de protéger les intérêts commerciaux de l’entreprise
- L’avocat pénaliste Hanni Fakhoury estime que la manière dont la preuve a été obtenue doit être divulguée pour permettre à la défense d’évaluer s’il y a eu un problème juridique et si cette preuve peut être contestée
- Ce secret peut affaiblir la transparence du processus par lequel un juge autorise une perquisition ou admet certaines données et preuves à l’audience
Les raisons invoquées par Cellebrite et sa réponse officielle
- Dans la vidéo de formation, l’employé explique qu’une fuite sur les fonctionnalités pourrait nuire à l’ensemble des forces de l’ordre dans le monde
- Si des criminels apprennent comment l’appareil est pénétré, ou qu’une application de messagerie chiffrée particulière peut être déchiffrée, ils pourraient se tourner vers des méthodes plus difficiles, voire impossibles à traiter
- Il ajoute que les fabricants de téléphones continuent à renforcer la sécurité de leurs produits, ce qui rend déjà la tâche difficile
- Un exploit raté, s’il est connecté au réseau, peut envoyer au fabricant un signal indiquant que l’appareil est attaqué
- Avec suffisamment d’informations, un fabricant pourrait finir par comprendre l’approche de Cellebrite
- Victor Cooper, porte-parole de Cellebrite, a répondu que l’entreprise était déterminée à soutenir une application éthique de la loi
- Ses outils seraient conçus pour un usage légal, la chaîne de conservation des preuves et le respect de la procédure judiciaire
- L’entreprise dit ne jamais conseiller à ses clients de violer une loi, une exigence juridique ou une norme de forensic
- Elle affirme protéger ses secrets commerciaux ainsi que ses informations propriétaires et confidentielles, et attendre de ses clients qu’ils les respectent aussi
- Elle indique continuer à faire évoluer ses supports de formation et ses documents publics afin d’identifier les formulations pouvant être mal interprétées
- L’entreprise n’a pas répondu à la question de savoir si le contenu de la formation serait modifié
Un précédent de secret autour d’autres technologies de surveillance
- Saira Hussain et Cooper Quintin, de l’Electronic Frontier Foundation, estiment que Cellebrite contribue à créer un monde dans lequel des appareils vulnérables peuvent être exploités par
- des États autoritaires
- des groupes criminels
- des cybermercenaires
- avec le risque qu’ils commettent des crimes, réduisent au silence les voix dissidentes et portent atteinte à la vie privée des personnes
- Cellebrite n’est pas la première entreprise à demander à ses clients de garder sa technologie secrète
- Harris Corporation a demandé des accords de confidentialité aux forces de l’ordre souhaitant utiliser son outil de surveillance mobile connu sous le nom de stingray
- Dans certains cas, ces demandes allaient jusqu’à recommander aux autorités d’abandonner une affaire plutôt que de révéler l’outil employé
- Ce type de demande remonte au milieu des années 2010 et reste encore en vigueur aujourd’hui
- Les technologies de piratage et de surveillance destinées aux services d’enquête peuvent être dissimulées au nom du secret commercial et de la sécurité opérationnelle, mais devant un tribunal, la manière dont les preuves ont été obtenues et leur fiabilité doivent pouvoir être contestées
1 commentaires
Avis de Hacker News
Si j’étais avocat de la défense, je creuserais la question de savoir si l’accusation demande simplement de croire sur parole qu’une « entreprise de hacking » comme Cellebrite a correctement réalisé l’analyse forensique.
À ma place, j’essaierais d’ébranler la réputation de Cellebrite afin de rendre difficile la confiance dans l’ensemble des preuves produites par cet outil.
L’analyse d’incendies, l’analyse de morsures, une bonne partie des analyses fondées sur l’ADN, la balistique, les détecteurs de mensonge, les tests d’alcoolémie sur le terrain ou même les certifications d’« expert en identification de drogues » — autant de choses proches de la pseudo-science — ont été utilisées dans de vraies condamnations.
Si l’on met à la barre quelqu’un avec un PhD après son nom, une blouse blanche ou une certification qui sonne bien, cela a tendance à bien servir l’accusation.
L’accusation produit un rapport généré par un logiciel propriétaire, et un employé de l’entreprise témoigne que les résultats sont corrects et que la probabilité de faux positif est de 1 sur 10 milliards.
Quand la défense demande l’accès au code source pour vérifier cette affirmation, l’entreprise invoque le secret commercial, et le juge refuse l’accès tout en n’écartant pas la preuve.
Dans un procès où j’étais juré, l’avocat de la défense a complètement démonté le témoin expert d’une entreprise de caméras de franchissement de feu rouge.
La police avait utilisé l’heure cellulaire/GPS des caméras pour enchaîner 10 à 12 vidéos provenant de plusieurs caméras dont les horloges n’étaient pas synchronisées ; une fois la chronologie discréditée, toute l’affaire s’est effondrée et l’accusation d’homicide involontaire contre son client a été rejetée.
Dans la plupart des affaires, le contenu des messages et les horodatages sont essentiels, et ils peuvent être vérifiés de l’extérieur via le téléphone lui-même, d’autres logiciels ou les enregistrements des deux côtés de la conversation.
D’autres données, comme la localisation, sont moins certaines et nécessitent une vérification ; le désaccord porte alors sur ce que ces preuves signifient.
Le logiciel Cellebrite peut être utilisé par les deux parties si elles paient, et les vidéos de formation recommandent même aux enquêteurs de vérifier réellement les résultats.
L’extraction et le parsing de téléphones sont un jeu du chat et de la souris en constante évolution, donc la revérification et la validation sont essentielles ; le problème est plutôt que les enquêteurs, généralement sans compétences techniques, se contentent d’extraire des téléphones depuis leur bureau sans valider les données, pas l’outil lui-même.
Dans un procès où j’étais juré, Cellebrite, GrayKey et la triangulation par antennes-relais ont été largement utilisés.
J’ai été surpris de voir à quel point c’est devenu routinier pour les forces de l’ordre, et combien de choses ils récupèrent sur un iPhone — en pratique, tout.
L’affaire est maintenant terminée, et elle l’a été à cause de ces preuves.
C’est peut-être la meilleure manière pour que ce genre d’informations sorte.
Aux dernières nouvelles, même le FBI avait du mal à accéder à un iPhone 4S verrouillé, et les protections se sont beaucoup renforcées depuis.
Ensuite, GrayKey a pu contourner les limites de saisie du mot de passe, mais si l’on utilisait un code alphanumérique, on pouvait rendre l’attaque par force brute plus longue que la durée de vie du Soleil.
Sur les anciens iPhone, probablement des modèles qui ont deux ou trois générations de retard aujourd’hui, ils pouvaient tout récupérer.
Je ne me souviens pas du modèle exact, mais on m’a dit que sur les iPhone récents, ils ne peuvent pas obtenir une image complète du disque et ne récupèrent que « certaines » données, probablement des métadonnées.
GrayKey met constamment son logiciel à jour et cherche de nouvelles méthodes d’extraction ; on m’a dit que cela ne fonctionne pas si le téléphone a déjà été éteint.
Quand cela fonctionne, ils extraient tout depuis le disque, puis Cellebrite analyse ces données et les présente à l’utilisateur.
L’appareil GrayKey se branche au téléphone, et il faut que le téléphone n’ait pas été éteint.
Le réglage USB non fiable aide aussi à empêcher son fonctionnement.
Autrefois, tous les magasins Verizon avaient ce genre d’équipement pour transférer les contacts et autres données vers un nouveau téléphone.
Une fois, je l’ai utilisé pour un policier, qui m’a dit : « Vous utilisez Cellebrite ? C’est génial, non ? » ; à l’époque, je n’avais aucune idée que c’était important.
En réalité, je trouvais surtout que c’était pénible à utiliser et lent.
Transférer des photos depuis un vieux téléphone à clapet prenait des heures, et quand les smartphones ont commencé à arriver, nous avons refusé de transférer les photos.
Si le téléphone était verrouillé, on ne pouvait rien faire, et sur Android il fallait activer le débogage USB, aujourd’hui caché dans les paramètres.
Les produits bas de gamme servent à la sauvegarde de données en magasin, tandis que les produits haut de gamme s’introduisent dans les iPhone récents.
Il est intéressant de voir que les personnes qui ont commercialisé la vulnérabilité Tegra X1 de la Nintendo Switch ont été punies comme si on les crucifiait, tandis que celles qui commercialisent ce genre de vulnérabilités reçoivent un feu vert à chaque étape.
Dans ce monde, le droit d’auteur et les secrets d’entreprise semblent passer avant la vie privée et la confidentialité des individus.
C’est toujours un billet intéressant : https://signal.org/blog/cellebrite-vulnerabilities/
J’ai particulièrement ri de la phrase malicieuse :
« Par une coïncidence difficile à croire, lors d’une récente promenade, j’ai vu un petit paquet tomber d’un camion devant moi. En m’approchant, une police d’entreprise floue est progressivement devenue nette : Cellebrite. À l’intérieur se trouvaient la dernière version du logiciel Cellebrite, un dongle matériel destiné à empêcher le piratage du logiciel (ce qui en dit peut-être long sur leurs clients !), et un nombre étrangement élevé d’adaptateurs de câbles. »
C’était vraiment une lecture formidable.
Je ne sais pas comment un tribunal accepterait ça alors que la chaîne de conservation des preuves est rompue
Les utilisateurs d’iPhone feraient mieux d’activer le verrouillage d’appairage sur leur appareil pour éviter qu’il soit cloné plus tard dans le cadre d’une enquête
https://arkadiyt.com/2019/10/07/pair-locking-your-iphone-wit...
D’après ce que je comprends, sauf dans ses versions ultra-secrètes, Cellebrite ressemble en pratique plutôt à un dispositif de sauvegarde iTunes avancé, et ne semble pas fonctionner avec moins de conditions que celles nécessaires pour sauvegarder manuellement son téléphone chez soi
Au tribunal, on présente les faits, pas une histoire plausible sur la manière dont ces faits ont été obtenus
Si la défense estime que les faits sont inexacts, elle peut contester la méthode de collecte, et c’est alors qu’un témoin expert vient expliquer la procédure de collecte devant le tribunal
De toute façon, à l’heure actuelle, Cellebrite ne permet pas d’extraire directement les données des téléphones récents
On envoie le téléphone au laboratoire, on reçoit une image et on la charge dans Physical Analyzer ; l’exploitation effective des vulnérabilités du téléphone est gérée côté Cellebrite, ce qui évite d’avoir à craindre une fuite
Pour voir jusqu’où la police peut aller afin de donner l’impression que les preuves ont été obtenues par une procédure plausible, il suffit de regarder la construction parallèle
[0]https://en.wikipedia.org/wiki/Parallel_construction
L’accusé a le droit de montrer qu’il y a eu un défaut dans le processus d’extraction ; sinon, cela peut mener à une erreur judiciaire
Dans la procédure pénale américaine, une procédure de boîte noire secrète et magique ne peut pas produire des preuves recevables
Il faut une chaîne de conservation des preuves
Sinon, un mauvais policier pourrait piéger quelqu’un
La grande majorité de ces examens sont effectués sous l’autorité d’un mandat de perquisition valide délivré par un tribunal
La position est que la police a le droit d’accéder aux données de l’appareil, et que la méthode importe assez peu
L’une des raisons pour lesquelles des entreprises comme Cellebrite ou Greyshift gardent leurs vulnérabilités extrêmement secrètes, c’est qu’Apple ou Google les corrigent par mise à jour dès qu’ils comprennent comment leurs mécanismes de sécurité sont contournés
Un jeu du chat et de la souris permanent
Des éléments comme les métadonnées du système de fichiers peuvent être affectés
Ils demandent en gros une sécurité par l’obscurité tout en pensant que cela va durer
L’article mentionne une vidéo de formation de démonstration du produit, mais elle ne semblait pas incluse
Je ne sais pas pourquoi elle n’est pas publiée
Je ne veux pas une transcription où l’on dit à la police de protéger les biens de l’entreprise ; je veux voir à quoi cette entreprise peut accéder quand elle accède illégalement à mes biens
Quand on accède à un système informatique sans autorisation — autrement dit quand on le pirate — on commettrait un crime fédéral, mais certaines entreprises vendent légalement cette capacité à grande échelle aux forces de l’ordre tout en leur demandant de garder le secret
Aux dernières nouvelles, la loi est la loi, et elle s’applique à tout le monde, pas seulement aux gens ordinaires
Le passage où il faut « absolument mentionner premium » est aussi ridicule
En gros : ne divulguez pas le fonctionnement interne du piratage illégal, mais faites la promotion du produit premium pour que les gens du gouvernement et des forces de l’ordre le voient et s’abonnent
Est-ce qu’on obtient 60 % de réduction le premier mois si, à la barre, on mentionne premium et le code de parrainage WHOWATCHESTHEWATCHERS ?
Je ne comprends pas comment ces entreprises peuvent être autorisées
C’est un système où enfreindre la loi passe, parce que ceux qui devraient normalement les arrêter sont leurs clients
Après la fusillade de San Bernardino, c’était amusant de voir Apple et le FBI présenter dans les médias la question du déchiffrement de l’iPhone comme un affrontement Apple contre FBI
En réalité, le FBI pouvait accéder à toutes les données qu’il voulait via iCloud, grâce à une porte dérobée de chiffrement qu’Apple avait explicitement laissée en place
https://www.reuters.com/article/us-apple-fbi-icloud-exclusiv...
Aujourd’hui, Apple voudrait évidemment rétroconcevoir ce type d’équipement pour trouver les vulnérabilités et les corriger, et beaucoup de polices locales auxquelles Cellebrite vend son matériel ont été amenées, par la propagande Apple/FBI, à croire qu’Apple s’oppose à la coopération avec les forces de l’ordre ; elles sont donc susceptibles d’accepter ce genre de conditions
Malgré tout, à long terme, je pense que la sécurité d’Apple finira par l’emporter
Une seule fuite suffirait pour qu’Apple puisse corriger les vulnérabilités, et Apple a beaucoup d’argent ainsi que des coopérations avec le FBI, le DHS, etc.
Rien qu’à voir le contenu de la formation cité dans l’article, Cellebrite semble savoir qu’elle mène un combat perdu d’avance
Avec le temps, l’information ne devient pas plus secrète, seulement moins secrète
Les autorités voulaient accéder à l’appareil lui-même, et réclamaient une porte dérobée d’appareil « réservée aux gentils » pour obtenir ce qui pouvait ne pas se trouver dans les sauvegardes iCloud
Apple a refusé, et c’est là que la controverse et les articles de presse sont apparus
Apple a déclaré publiquement que les forces de l’ordre pouvaient accéder aux sauvegardes iCloud, et l’article que tu as toi-même fourni le dit aussi
Il n’y avait pas de « porte dérobée explicitement conservée » pour le FBI ; c’est simplement qu’à l’époque, les sauvegardes iCloud n’étaient pas chiffrées de bout en bout
C’était aussi assez largement connu à l’époque, d’où les nombreuses recommandations de faire des sauvegardes avec iTunes
Parce qu’iTunes conservait une option permettant de chiffrer les sauvegardes
Si on leur envoie le téléphone, ils le déverrouillent pour vous