GrapheneOS et l’extraction de données à des fins forensiques (2024)

• GrapheneOS attire l’attention pour son haut niveau de sécurité et de respect de la vie privée, comparable à iOS
• En mai 2024, une fausse attaque sur les réseaux sociaux a affirmé à tort que GrapheneOS était vulnérable à l’extraction de données
• Les outils forensiques comme Cellebrite permettent des extractions sans consentement sur la plupart des appareils Android/iOS, mais GrapheneOS résiste lorsqu’il dispose des derniers correctifs de sécurité
• L’extraction de données basée sur le consentement correspond au cas où l’utilisateur déverrouille un appareil qui lui appartient ; l’extraction n’est alors possible que dans ce cadre
• La combinaison Pixel 6 ou version ultérieure + GrapheneOS bloque aussi des attaques récentes comme le brute force de mot de passe et le piratage via connexion USB

Présentation de GrapheneOS et contexte de l’attaque sur les réseaux sociaux

• GrapheneOS est un OS basé sur Android, open source, centré sur la sécurité et la vie privée, offrant un niveau de protection équivalent ou supérieur à celui d’iOS
• En mai 2024, une attaque a cherché à faire croire sur les réseaux sociaux que GrapheneOS avait été compromis par des outils forensiques
• En réalité, il s’agissait d’un cas d’extraction de données basée sur le consentement de l’utilisateur, volontairement détourné pour faire croire à une vulnérabilité de GrapheneOS

Vue d’ensemble de la forensic numérique et de l’extraction de données

• La forensic numérique est le processus de collecte et d’analyse de preuves électroniques
• Ce processus extrait et analyse, à partir de divers appareils comme des ordinateurs, smartphones ou supports de stockage, des éléments liés à des preuves criminelles ou à des litiges juridiques
• Mais les techniques forensiques peuvent aussi être détournées à des fins de violation de la vie privée, de représailles ou de falsification de preuves
• GrapheneOS développe diverses mesures de sécurité pour empêcher l’extraction de données sans consentement et la compromission des appareils

Cellebrite et son influence

• Cellebrite est une entreprise israélienne de référence dans la forensic numérique, connue pour son outil UFED (Universal Forensic Extraction Device)
• L’entreprise vend légalement ses équipements aux gouvernements et aux autorités judiciaires, mais aussi à des États autoritaires ou impliqués dans la répression des droits humains
• Cet outil est utilisé dans de nombreuses régions du monde pour tenter d’extraire des données de smartphones

Méthodes d’extraction de données et contexte technique

• La première étape de la forensic numérique est l’extraction de données d’un appareil mobile
• Si l’appareil est verrouillé, différentes méthodes sont tentées pour deviner le mot de passe ou le PIN (piratage, brute force)
• Deux états possibles d’un smartphone :
  • BFU (Before First Unlock) : état dans lequel l’appareil n’a jamais été déverrouillé après le démarrage ; les données internes sont entièrement chiffrées, ce qui rend l’analyse forensic très difficile
  • AFU (After First Unlock) : après déverrouillage, les clés restent en mémoire, ce qui facilite relativement l’accès aux données

Pratique réelle de l’extraction de données

• État AFU : tentative de contourner les protections ou de retirer le verrouillage d’écran au moyen de vulnérabilités logicielles, puis extraction des données
• État BFU : tentative de retrouver le PIN ou le mot de passe par brute force (essai de toutes les combinaisons)

Capacités récentes de Cellebrite en matière d’extraction

• D’après des documents publiés en avril 2024, il est possible de pirater et d’extraire des données de toutes les marques Android sauf GrapheneOS, quel que soit l’état AFU ou BFU

• Une prise en charge partielle existe aussi pour les appareils iOS récents ; pour la plupart des utilisateurs d’iPhone, les derniers correctifs sont appliqués automatiquement, ce qui réduit le risque

• NSO (éditeur de Pegasus) a déjà montré sa capacité à exploiter très rapidement des vulnérabilités sur les versions récentes d’iOS

• GrapheneOS reconnaît officiellement que, lorsque les mises à jour de sécurité publiées depuis fin 2022 sont appliquées, même Cellebrite ne peut pas le pirater

• Les mises à jour étant activées automatiquement, la grande majorité des utilisateurs conservent un niveau de sécurité à jour

• En revanche, si l’utilisateur déverrouille lui-même l’appareil (consent-based), l’extraction de données est possible sur iOS, Android et GrapheneOS

  • Sur GrapheneOS, il est possible d’accéder à l’ensemble des données via les options développeur et l’outil adb

• La combinaison Pixel 6 ou modèle ultérieur + GrapheneOS ne peut pas être compromise par brute force, même avec un PIN à 6 chiffres tiré aléatoirement

L’incident sur les réseaux sociaux et la réalité

• En mai 2024, des affirmations trompeuses se sont propagées sur les réseaux sociaux, présentant un cas réussi d’extraction consent-based sur GrapheneOS comme une preuve mensongère d’une vulnérabilité
• Des cas similaires ont déjà existé, comme des rumeurs selon lesquelles le chiffrement de Signal aurait été cassé, alors qu’en réalité l’utilisateur avait simplement ouvert lui-même l’application et fourni l’accès à la forensic

Stratégie de défense de GrapheneOS contre le piratage forensic

Principales fonctions de protection contre le piratage du téléphone

• Lorsque l’appareil est verrouillé (verrouillage d’écran, etc.), le système bloque les nouvelles connexions USB et fournit une fonction de blocage du port au niveau matériel
• Dans divers scénarios — BFU, AFU, appareil entièrement déverrouillé — il est possible de configurer un blocage USB complet jusqu’au niveau souhaité par l’utilisateur
• Depuis 2024, la sécurité a également été renforcée jusqu’au firmware des Pixel

Défense contre les attaques par brute force

• Les appareils Pixel 6 et ultérieurs intègrent Titan M2 (module matériel de sécurité), qui protège les clés de chiffrement
• Après 5 saisies erronées, il faut attendre 30 secondes ; au-delà de 30 puis de 140 erreurs, le temps d’attente augmente à chaque palier, puis une seule tentative par jour est autorisée (secure element throttling)
• Le système a passé une évaluation indépendante de niveau AVA_VAN.5, démontrant un très haut niveau de sécurité
• Les modules de sécurité d’iOS, de Samsung et de Qualcomm ont déjà été contournés par des attaquants disposant de moyens importants, mais la combinaison GrapheneOS + Pixel 6 ou ultérieur n’a connu aucun cas de succès ces dernières années

Fonction de redémarrage automatique (auto reboot)

• Un redémarrage automatique est déclenché après 18 heures par défaut (paramétrable à partir de 10 minutes) ; en l’absence d’utilisation, l’appareil repasse alors en état BFU
• Ainsi, même si un hacker développe un exploit, la fenêtre d’attaque réelle reste limitée à la période où l’utilisateur a déverrouillé l’appareil avant le redémarrage

Conclusion et perspectives

• L’équipe GrapheneOS continue de renforcer diverses protections de sécurité ainsi que des fonctions de sécurité automatisées
• À l’avenir, elle prévoit d’introduire des protections encore plus puissantes et pratiques, comme une authentification en deux étapes empreinte + PIN ou une UI générant automatiquement des phrases de passe aléatoires
• Alors que des campagnes de désinformation tentent de se diffuser malgré l’incapacité de groupes de piratage sophistiqués à compromettre le système, des informations fondées sur les faits peuvent permettre d’y résister