GrapheneOS et l’extraction de données à des fins forensiques (2024)

 (discuss.grapheneos.org)
2 points par GN⁺ 2025-09-12 | 1 commentaires | Partager sur WhatsApp
  • GrapheneOS attire l’attention pour son haut niveau de sécurité et de respect de la vie privée, comparable à iOS
  • En mai 2024, une fausse attaque sur les réseaux sociaux a affirmé à tort que GrapheneOS était vulnérable à l’extraction de données
  • Les outils forensiques comme Cellebrite permettent des extractions sans consentement sur la plupart des appareils Android/iOS, mais GrapheneOS résiste lorsqu’il dispose des derniers correctifs de sécurité
  • L’extraction de données basée sur le consentement correspond au cas où l’utilisateur déverrouille un appareil qui lui appartient ; l’extraction n’est alors possible que dans ce cadre
  • La combinaison Pixel 6 ou version ultérieure + GrapheneOS bloque aussi des attaques récentes comme le brute force de mot de passe et le piratage via connexion USB

Présentation de GrapheneOS et contexte de l’attaque sur les réseaux sociaux

  • GrapheneOS est un OS basé sur Android, open source, centré sur la sécurité et la vie privée, offrant un niveau de protection équivalent ou supérieur à celui d’iOS
  • En mai 2024, une attaque a cherché à faire croire sur les réseaux sociaux que GrapheneOS avait été compromis par des outils forensiques
  • En réalité, il s’agissait d’un cas d’extraction de données basée sur le consentement de l’utilisateur, volontairement détourné pour faire croire à une vulnérabilité de GrapheneOS

Vue d’ensemble de la forensic numérique et de l’extraction de données

  • La forensic numérique est le processus de collecte et d’analyse de preuves électroniques
  • Ce processus extrait et analyse, à partir de divers appareils comme des ordinateurs, smartphones ou supports de stockage, des éléments liés à des preuves criminelles ou à des litiges juridiques
  • Mais les techniques forensiques peuvent aussi être détournées à des fins de violation de la vie privée, de représailles ou de falsification de preuves
  • GrapheneOS développe diverses mesures de sécurité pour empêcher l’extraction de données sans consentement et la compromission des appareils

Cellebrite et son influence

  • Cellebrite est une entreprise israélienne de référence dans la forensic numérique, connue pour son outil UFED (Universal Forensic Extraction Device)
  • L’entreprise vend légalement ses équipements aux gouvernements et aux autorités judiciaires, mais aussi à des États autoritaires ou impliqués dans la répression des droits humains
  • Cet outil est utilisé dans de nombreuses régions du monde pour tenter d’extraire des données de smartphones

Méthodes d’extraction de données et contexte technique

  • La première étape de la forensic numérique est l’extraction de données d’un appareil mobile
  • Si l’appareil est verrouillé, différentes méthodes sont tentées pour deviner le mot de passe ou le PIN (piratage, brute force)
  • Deux états possibles d’un smartphone :
    • BFU (Before First Unlock) : état dans lequel l’appareil n’a jamais été déverrouillé après le démarrage ; les données internes sont entièrement chiffrées, ce qui rend l’analyse forensic très difficile
    • AFU (After First Unlock) : après déverrouillage, les clés restent en mémoire, ce qui facilite relativement l’accès aux données

Pratique réelle de l’extraction de données

  • État AFU : tentative de contourner les protections ou de retirer le verrouillage d’écran au moyen de vulnérabilités logicielles, puis extraction des données
  • État BFU : tentative de retrouver le PIN ou le mot de passe par brute force (essai de toutes les combinaisons)

Capacités récentes de Cellebrite en matière d’extraction

  • D’après des documents publiés en avril 2024, il est possible de pirater et d’extraire des données de toutes les marques Android sauf GrapheneOS, quel que soit l’état AFU ou BFU

  • Une prise en charge partielle existe aussi pour les appareils iOS récents ; pour la plupart des utilisateurs d’iPhone, les derniers correctifs sont appliqués automatiquement, ce qui réduit le risque

  • NSO (éditeur de Pegasus) a déjà montré sa capacité à exploiter très rapidement des vulnérabilités sur les versions récentes d’iOS

  • GrapheneOS reconnaît officiellement que, lorsque les mises à jour de sécurité publiées depuis fin 2022 sont appliquées, même Cellebrite ne peut pas le pirater

  • Les mises à jour étant activées automatiquement, la grande majorité des utilisateurs conservent un niveau de sécurité à jour

  • En revanche, si l’utilisateur déverrouille lui-même l’appareil (consent-based), l’extraction de données est possible sur iOS, Android et GrapheneOS

    • Sur GrapheneOS, il est possible d’accéder à l’ensemble des données via les options développeur et l’outil adb

  • La combinaison Pixel 6 ou modèle ultérieur + GrapheneOS ne peut pas être compromise par brute force, même avec un PIN à 6 chiffres tiré aléatoirement

L’incident sur les réseaux sociaux et la réalité

  • En mai 2024, des affirmations trompeuses se sont propagées sur les réseaux sociaux, présentant un cas réussi d’extraction consent-based sur GrapheneOS comme une preuve mensongère d’une vulnérabilité
  • Des cas similaires ont déjà existé, comme des rumeurs selon lesquelles le chiffrement de Signal aurait été cassé, alors qu’en réalité l’utilisateur avait simplement ouvert lui-même l’application et fourni l’accès à la forensic

Stratégie de défense de GrapheneOS contre le piratage forensic

Principales fonctions de protection contre le piratage du téléphone

  • Lorsque l’appareil est verrouillé (verrouillage d’écran, etc.), le système bloque les nouvelles connexions USB et fournit une fonction de blocage du port au niveau matériel
  • Dans divers scénarios — BFU, AFU, appareil entièrement déverrouillé — il est possible de configurer un blocage USB complet jusqu’au niveau souhaité par l’utilisateur
  • Depuis 2024, la sécurité a également été renforcée jusqu’au firmware des Pixel

Défense contre les attaques par brute force

  • Les appareils Pixel 6 et ultérieurs intègrent Titan M2 (module matériel de sécurité), qui protège les clés de chiffrement
  • Après 5 saisies erronées, il faut attendre 30 secondes ; au-delà de 30 puis de 140 erreurs, le temps d’attente augmente à chaque palier, puis une seule tentative par jour est autorisée (secure element throttling)
  • Le système a passé une évaluation indépendante de niveau AVA_VAN.5, démontrant un très haut niveau de sécurité
  • Les modules de sécurité d’iOS, de Samsung et de Qualcomm ont déjà été contournés par des attaquants disposant de moyens importants, mais la combinaison GrapheneOS + Pixel 6 ou ultérieur n’a connu aucun cas de succès ces dernières années

Fonction de redémarrage automatique (auto reboot)

  • Un redémarrage automatique est déclenché après 18 heures par défaut (paramétrable à partir de 10 minutes) ; en l’absence d’utilisation, l’appareil repasse alors en état BFU
  • Ainsi, même si un hacker développe un exploit, la fenêtre d’attaque réelle reste limitée à la période où l’utilisateur a déverrouillé l’appareil avant le redémarrage

Conclusion et perspectives

  • L’équipe GrapheneOS continue de renforcer diverses protections de sécurité ainsi que des fonctions de sécurité automatisées
  • À l’avenir, elle prévoit d’introduire des protections encore plus puissantes et pratiques, comme une authentification en deux étapes empreinte + PIN ou une UI générant automatiquement des phrases de passe aléatoires
  • Alors que des campagnes de désinformation tentent de se diffuser malgré l’incapacité de groupes de piratage sophistiqués à compromettre le système, des informations fondées sur les faits peuvent permettre d’y résister

À lire aussi

1 commentaires

 
GN⁺ 2025-09-12
Commentaires sur Hacker News
  • Je pense qu’il n’existe pas de « mauvais gouvernement » ou de « bon gouvernement » en soi ; au final, tout dépend du point de vue des gens. C’est pourquoi nous ne devrions pas confier aveuglément l’ensemble de nos données à l’État simplement parce qu’il est censé nous protéger des terroristes ou des pédocriminels. En pratique, l’État finit toujours, tôt ou tard, par abuser de citoyens innocents. Cela arrive déjà aujourd’hui, et c’est peut-être même utilisé pour réclamer davantage de contrôle.
    • Pour moi, si un gouvernement n’arrive pas à répondre correctement aux besoins de la population — pas à ses envies, mais à ses besoins — alors c’est justement un mauvais gouvernement. Si les rues sont envahies par les gangs, les voleurs, la drogue ou les maladies, ce n’est pas une question de perception des citoyens : ce sont des problèmes que le gouvernement doit résoudre. Sans ce rôle, il n’a pas de raison d’exister.
    • C’est bien pour ça qu’il ne faut pas confier la gestion des données à l’aveugle, que ce soit à l’État ou à qui que ce soit d’autre. Au moins, l’État invoque l’intérêt public ; les entreprises, elles, n’ont pour seule motivation que l’intérêt des actionnaires.
    • C’est intéressant en théorie, mais dans le pays d’où je viens, en pratique, le gouvernement fouille les téléphones des gens et utilise comme preuves leurs actes ou leurs activités sur les réseaux sociaux contre le pouvoir, pour prononcer des peines très lourdes. Voir par exemple ce cas récent : ce lien. Même si GrapheneOS est sûr, pour échapper correctement à ce type de menace, il faut absolument un téléphone entièrement vierge.
    • Je pense que quelqu’un brouille délibérément le débat. À ce stade, ce sujet ne devrait même plus être controversé : un gouvernement qui kidnappe, torture, assassine et « fait disparaître » des citoyens est clairement un mauvais gouvernement. Historiquement comme dans la réalité, la Chine, la Russie, le Mexique, la Corée du Nord, la Biélorussie, les Balkans et de nombreux pays africains en sont des exemples. Ce n’est pas parce que 34 % de mes voisins veulent m’envoyer dans un camp que cela devient légitime. Personnellement, je n’irais jamais vivre dans un tel endroit. Et les arguments du type « tout dépend du point de vue » sont justement l’exemple typique d’un mauvais gouvernement. En réalité, il n’est pas si difficile d’être un bon gouvernement : il suffit de ne pas se comporter mal.
    • Je trouve cette façon de penser très problématique : dès que le gouvernement diffère de l’opinion personnelle de quelqu’un, il serait automatiquement mauvais. On oublie qu’une civilisation composée de très nombreuses personnes aux points de vue variés exige parfois des compromis pour pouvoir vivre ensemble.
  • J’aime vraiment beaucoup GrapheneOS, mais ce serait parfait s’il existait une version permettant d’extraire les données privées des applis ou d’obtenir un shell root alors que l’utilisateur est authentifié. Les développeurs disent que le root ouvre une énorme brèche dans le modèle de sécurité, mais s’il existait un moyen d’utiliser le root de manière sûre, je pourrais modifier directement les applis que je veux utiliser, et ce serait pour moi l’OS idéal. Bien sûr, je peux télécharger le tout et le signer moi-même, mais je n’ai pas envie d’aller jusque-là.
    • On peut configurer le root sur GrapheneOS, mais cela efface les données, donc il faut impérativement faire une sauvegarde. Si on a vraiment besoin du root, on peut fonctionner comme ça : sauvegarde des données, activation des privilèges root, puis restauration.
    • Moi aussi, j’aimerais cette fonctionnalité. J’utilise actuellement une build userdebug compilée par mes soins pour adb root, mais ce serait bien mieux si c’était officiellement pris en charge.
    • Cela veut dire qu’on ne peut pas avoir les deux. L’accès root est une faille de sécurité trop importante, donc ce ne sera jamais pris en charge dans la version officielle. Il n’y a pas d’autre solution que de créer soi-même des clés et des images personnalisées.
    • Je me demande quel est le modèle de menace quand on active le root sur un téléphone, et pourquoi cela ne peut pas être complètement empêché. La plupart des serveurs ou des desktops fonctionnent très bien avec le root activé sans que ce soit un problème majeur.
  • Nous sommes en [2024], ce billet semble être un brouillon, et on peut le lire sur le blog de l’auteur : https://telefoncek.si/2024/05/2024-05-30-grapheneos-and-forensic-extraction-of-data/
  • En lisant ça, j’ai envie d’acheter un Pixel pour essayer d’installer GrapheneOS. Même en supposant que les grandes entreprises aient une certaine volonté de protéger la vie privée, elles restent des cibles faciles sur le plan juridique. Si les États-Unis ou l’UE votaient demain une loi imposant une porte dérobée sur tous les appareils mobiles, le monde entier en subirait les conséquences.
    • On peut essayer à très bas coût. J’ai acheté un Pixel 7 Pro reconditionné sur eBay pour 250 dollars et j’y ai installé GrapheneOS. C’est un téléphone dédié que j’utilise à l’extérieur avec un forfait eSim à 20 dollars. S’il est perdu ou volé en voyage, ce n’est pas grave : il suffit de résilier l’eSim, d’acheter un autre Pixel et de réinstaller GrapheneOS. Mon téléphone principal, un Pixel 10 Pro, reste en sécurité à la maison.
    • À noter qu’au Royaume-Uni, le gouvernement a tenté d’exiger d’Apple la création d’une porte dérobée en s’appuyant sur l’Investigatory Powers Act de 2016, mais Apple a refusé.
    • Mon dernier Pixel (4a) était déjà dans un état assez mauvais après environ un an et demi. Je me demande s’il existe des appareils Android plus robustes. J’utilisais un Apple SE pendant plusieurs années sans problème, donc je suis revenu chez Apple. J’aimerais vraiment essayer GrapheneOS.
    • Moi aussi, j’aimerais acheter un Pixel à cause de GrapheneOS, mais Google, malgré son statut d’entreprise au trillion de dollars, reste toujours très timide sur la vente à l’échelle mondiale.
  • J’ai l’impression que ce contenu cherche à réfuter des spéculations d’Internet par d’autres spéculations d’Internet. Cellebrite ne publie pas l’état de prise en charge des appareils récents, donc le grand public ne peut pas savoir avec précision quels progrès ont été réalisés sur les iPhone et iOS récents, les Pixel 9/10 ou les dernières versions d’Android. Cela dit, ce que les deux entreprises ont officiellement rendu public, c’est qu’Apple offre bien plus de chiffrement de bout en bout que Google quand Advanced Data Protection est activé, et que toutes deux investissent dans la sécurité matérielle et de plateforme (par exemple SEAR chez Apple). L’existence même de GrapheneOS est positive, mais ce billet en lui-même ne me semble pas apporter d’aide concrète.
    • Un document qui a fuité au début de l’année inclut aussi le Pixel 9. Au moins d’après les informations disponibles au moment de la fuite, GrapheneOS est indiqué comme non pris en charge par Cellebrite si des correctifs postérieurs à 2022 sont installés, et il est donc plus sûr que le firmware Google d’origine. L’une des raisons pour lesquelles GrapheneOS évite ce type de débats, c’est qu’il applique sans hésiter la désactivation du port USB, là où Google hésite à le faire pour des raisons d’ergonomie. Contrairement à Google, Samsung et Apple (none-lockdown mode), GrapheneOS exige toujours un déverrouillage quand l’utilisateur veut connecter son téléphone à une voiture, un écran, une clé USB, un adaptateur jack 3,5 mm, etc., ce qui entraîne moins de compromis. Il ajoute aussi, à la compilation, diverses options de sécurité au prix d’une baisse de performances, et explique lui-même des cas réels — certes rares — où cela a été déterminant pour stopper certaines attaques (cas GrapheneOS). On peut ne pas connaître l’état exact actuel de Cellebrite, mais le fait qu’ils n’aient pas réussi à l’attaquer correctement depuis plus de trois ans renforce ma confiance dans GrapheneOS. Bien sûr, le GRU ou la NSA disposent peut-être de méthodes d’attaque exceptionnelles, mais à l’heure actuelle, rien n’indique qu’un outil commercial vendu sur le marché ait percé GrapheneOS.
    • Quelqu’un transmet régulièrement à un développeur de GrapheneOS des fuites sur l’état du support de Cellebrite. D’après ces éléments, la documentation officielle indiquait qu’il n’était possible de pirater que GrapheneOS avec un niveau de correctifs antérieur à 2022. Ils ont aussi obtenu les documents les plus récents, jusqu’à juin 2025, et pourraient en récupérer davantage si nécessaire, mais ils n’en ont pas l’intention immédiate car ils ont actuellement des priorités plus urgentes. Si la situation l’exige, la source clé qui leur transmet ces documents les contactera directement, donc ils ne sont pas inquiets (lien).
  • Si vous envisagez de passer d’iOS à GrapheneOS, ce guide de migration et cet avis peuvent être utiles : https://blog.okturtles.org/2024/06/the-ultimate-ios-to-grapheneos-migration-guide-and-review/
    • Il existe aussi des services fiables comme Ente pour remplacer Apple Photos et Google Photos, ainsi que diverses autres alternatives.
    • C’est un peu hors sujet, mais je me demande combien de personnes composent actuellement l’équipe qui maintient GrapheneOS. Si Daniel Micay disparaissait soudainement, j’aimerais savoir s’il y a des personnes et une infrastructure prêtes à reprendre immédiatement le développement.
  • À propos de l’affirmation selon laquelle « ...c’est parce que GrapheneOS renforce davantage la sécurité face à ce type d’attaque qu’iOS. Les iPhone ont eux aussi un secure element, mais les attaquants le contournent depuis longtemps ; même chose chez Samsung et Qualcomm », je me demande si les Pixel sont réellement plus résistants aux attaques par force brute, et si les iPhone, entre autres, sont vraiment plus faciles à compromettre avec ce genre d’outils.
    • Je ne suis pas d’accord avec cette évaluation. J’ai beaucoup de respect pour GrapheneOS, mais quand il est critiqué, il y a parfois une tendance à employer des formulations proches de l’argument marketing exagéré. Les articles et informations à ce sujet reposent sur des fuites de listes de compatibilité de Cellebrite (des fichiers présents sur des appareils administratifs contenant des données de stockage), donc cela peut varier selon la date. Au moment de la rédaction, Cellebrite pouvait accéder par force brute aux iPhone antérieurs à l’iPhone 12 (avant l’introduction du composant de stockage sécurisé), et l’iPhone 12 faisait encore l’objet de recherches pour être compromis sous des versions antérieures à iOS 17. Côté Android, la force brute n’est plus possible depuis le Pixel 6 (avec l’introduction du Titan M2). Fondamentalement, le modèle de confiance est presque le même sur iPhone et Pixel : le code secret de l’utilisateur est combiné à une entropie sécurisée pour produire une clé de chiffrement, et le processeur de sécurité limite le nombre de tentatives. L’architecture d’Apple est très bien documentée dans sa documentation officielle, et le système Weaver de Google fonctionne de manière comparable. Au final, je pense qu’un iPhone récent (iOS) et un Pixel récent avec GrapheneOS offrent tous deux un niveau de protection parmi les meilleurs du secteur. Comme l’indique l’article, la plupart des autres appareils et firmwares sont en retard, notamment dans la conception du logiciel de sécurité (ROM, bootloader, etc.).
    • À part le mot « facilement », c’est globalement exact.
  • Le premier risque de sécurité qui me vient à l’esprit, ce sont les blobs, c’est-à-dire les pilotes matériels propriétaires indispensables sur les téléphones Android, qui s’exécutent avec des privilèges élevés. Si GrapheneOS ne sandboxe pas ces pilotes de manière très stricte, un attaquant compétent pourrait contourner la sécurité via une porte dérobée dans les pilotes Wi‑Fi, modem ou Bluetooth. Sur ce type de blobs, quoi que fassent les développeurs de GrapheneOS, il est fondamentalement difficile de s’en protéger. On peut par exemple imaginer qu’un pilote Wi‑Fi intercepte la saisie du code PIN.
    • GrapheneOS exécute justement ces blobs dans des sandbox très strictes. L’utilisateur HN strcat a publié de nombreux messages détaillés sur ce point : réponses détaillées de strcat
  • Tant qu’un smartphone utilise son port USB, on ne peut pas garantir une sécurité totale. La porte dérobée que veulent les gouvernements passe précisément par là. Je vous encourage à voter pour la vie privée, et pour la liberté. Indépendamment de toute prise de position politique, les gouvernements financent ce type d’opérations dans le secret. D’innombrables sous-traitants analysent sur des plateformes comme AWS les données extraites par UFED (autrement dit, le contenu du téléphone compressé dans une archive zip) : e-mails, historiques d’appels, réglages opérateur, historique du navigateur, SMS, cookies, applis, journaux et données d’applis, bref tout ce qui se trouve dans le téléphone.
    • D’après le contenu de l’article, GrapheneOS permet aussi de désactiver le port USB.
  • Sur le plan technique, je trouve cela intéressant, et j’aimerais lire un article comparant concrètement les différences lorsqu’on applique des outils de forensic numérique à chaque système d’exploitation dans sa configuration la plus sécurisée.
    • Si l’on parle de « configuration la plus sécurisée », ne serait-ce pas un appareil hors ligne et éteint ?