Smartphones verrouillés : le FBI est loin d'en avoir fini

Smartphones verrouillés : le FBI est loin d’en avoir fini

Une question d'opportunités

Avatar de l'auteur
Vincent Hermann

Publié dans

Société numérique

05/04/2016 6 minutes
18

Smartphones verrouillés : le FBI est loin d'en avoir fini

Même si la principale guerre entre Apple et le FBI à pris fin, la bataille sous-jacente contre le chiffrement continue. Non seulement l’agence fédérale mène un autre front contre Google, mais la technique récemment utilisée sur un iPhone va servir dans d’autres affaires.

L’affaire de l’iPhone de San Bernardino a largement cristallisé les tensions qui régnaient entre les forces de l’ordre américaines et la Silicon Valley. Le FBI, en charge de l’affaire, cherchait à récupérer de précieuses informations dans le smartphone. Problème : son contenu était chiffré et Apple était incapable de donner la clé. Depuis iOS 8 en effet, le code de verrouillage, connu normalement du seul possesseur de l’appareil, participe à la création de la clé.

La bataille qui s’en est suivie était entièrement articulée sur l’All Writs Act, permettant à l’agence de réclamer de l’aide à une entreprise. Apple s’était opposée à l’ordonnance délivrée par le tribunal de Riverside, jugeant que non seulement la demande représentant une charge excessive, mais qu’il en résulterait des dégâts certains sur son image et donc son chiffre d’affaires. En outre, elle accusait le FBI de chercher à obtenir par les tribunaux ce qu’il n’avait pu avoir par le Congrès avec le rejet de la loi CALEA II.

Apple veut savoir la technique utilisée par le FBI

Plus que tout, Apple craignait en fait qu’un précédent soit établi. La décision aurait fait jurisprudence et aurait été répercutée sur toutes les autres affaires impliquant des appareils iOS chiffrés. Or, dans un retournement de situation, le FBI avait annoncé qu’un tiers était en mesure d’aider à déverrouiller l’iPhone. Quelques jours plus tard, la méthode était confirmée : le FBI n’avait plus besoin d’aide.

Depuis, Apple cherche à connaître les détails. Et pour cause : il existe très probablement une ou plusieurs failles de sécurité qui ont été exploitées. Comme indiqué régulièrement au sujet des activités de la NSA dans ce domaine, des brèches non signalées peuvent tout autant être trouvées par des pirates et exploitées contre les utilisateurs. Mais le FBI refuse (une inversion ironique des rôles), puisque d’autres affaires sont en cours.

Déjà deux autres affaires où la méthode pourrait servir

On savait ainsi que le seul État de New York avait environ 200 affaires impliquant des iPhone verrouillés. Si le FBI est en possession d’un outil capable de décrypter des données, il n’y a évidemment rien qui l’empêche d’intervenir dans des enquêtes bloquées. On sait ainsi que l’agence interviendra en Arkansas pour déverrouiller un iPhone et un iPod dans le cadre d’une enquête visant deux adolescents accusés d’avoir tué un couple. Le procès devait avoir lieu cette semaine, mais le juge l’a reporté au 27 juin pour laisser au FBI le temps de faire son travail.

Dans une autre affaire, cette fois à Brooklyn, c’est un iPhone 5s qui pose problème dans une affaire de trafic de drogue. Cette fois, le département américain de la Justice doit décider d’ici au 11 avril s’il continue à demander de l’aide à Apple, ou s’il se replie sur une solution visiblement fonctionnelle. Apple « profite » d’ailleurs de l’affaire pour essayer d’en savoir plus sur la fameuse méthode. Mais, comme le rappelle Reuters, le FBI n’a aucune obligation légale de révéler ce qu’il utilise.

Google est également concernée

C’est donc bien un nouveau chapitre qui s’ouvre dans une guerre qui risque d’être longue. Elle durera jusqu’à ce que l’épineuse question du curseur soit réglée : comment établir la limite entre respect de la vie privée et la sécurité ? Apple ne sera d’ailleurs pas la seule entreprise à être touchée, puisque l’on sait désormais que Google a reçu au moins neuf demandes similaires pour déverrouiller des appareils Android.

L’ACLU (American Civil Liberties Union) a en effet dévoilé en fin de semaine dernière des documents montrant ces demandes. Elles sont toutes basées sur l’All Writs Act, exactement comme dans le cas d’Apple. La crainte pour l’association est évidemment que le FBI puisse obtenir avec Google ce qu’elle n’a pu réussir à avoir via Apple. Le problème de jurisprudence serait alors exactement le même.

La fragmentation joue encore un rôle important

Il existe cependant une différence très nette entre Apple et Google : la fragmentation. Comme nous l’avions indiqué en novembre dernier, la firme de Mountain View peut réinitialiser les mots de passe à distance et déverrouiller les appareils dont la version d’Android est antérieure à la 5.0 et qui n’ont pas le chiffrement intégral actif. Cette méthode reste en l’état utilisable sur pratiquement les trois quarts des smartphones en circulation actuellement.

Google a toutefois réagi pour expliquer qu’aucune de ces demandes ne requérait le développement d’un outil spécifique pour percer les défenses de son système, comme cela avait été le cas avec Apple : « Nous examinons soigneusement les assignations et ordonnances des tribunaux afin d’être sûrs qu’ils respectent à la fois l’esprit et la lettre de la loi. Cependant, nous n’avons jamais reçu de demande comme celle faite à Apple de développer de nouveaux outils qui compromettraient activement la sécurité de nos produits. Nous nous opposerions avec force à une telle ordonnance ».

On notera que cette réponse faite par un porte-parole réaffirme au passage le soutien fait à Apple dans son opposition au FBI. Cependant, Google ne nie pas non plus être en capacité de déverrouiller une grande partie des smartphones Android dans le cadre des enquêtes et des procédures juridiques. D’ailleurs, si Apple peut arguer d’une impossibilité technique, son concurrent ne le peut pas.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Apple veut savoir la technique utilisée par le FBI

Déjà deux autres affaires où la méthode pourrait servir

Google est également concernée

La fragmentation joue encore un rôle important

Commentaires (18)








NXi a écrit :



D’ailleurs, si Apple peut arguer d’une impossibilité technique, son concurrent ne le peut pas.







Pas tout à fait non ?



Je veux dire, au delà d’Android 5, Google est de la même manière qu’Apple pour iOS 9 dans l’incapacité technique de déverrouiller le téléphone.



Pour iOS8, Apple pouvait techniquement le faire mais pour ça il fallait modifier le firmware pour faire autant de test que nécessaire sur la clé qui n’était que de 4 chiffres (en gro c’est vite fait). Pas compliquer pour Apple niveau technique mais très risqué au niveau légal/comm (jurisprudence toussa toussa).



Pour Google meme topo : jusqu’à Android 5 -> reset du pass. Après, impossible de faire quoique ce soit.





C’est lorsque le FBI demendera de l’aide à Google/Apple pour déchiffrer une tel sour iOS9/Android 6 qu’on va se marrer



Bref les 2 sont dans le même bateau.



“une inversion ironique des rôles”

<img data-src=" /> J’aime.


Amha la phrase concerne les cas actuels/en cours pas la situation dans l’absolue.


Ce que je vois dans cette affaire, c’est que aucun système de verrouillage, aussi complexe soit-il, n’est infaillible.



Qu’un système de verrouillage soit sous licence ou libre de droit, il peut-être cassé. Cela devrait faire réfléchir ceux qui vantent de tels systèmes, au point presque leur assurer leur propre existence….


la différence c’est qu’apple, à partir d’une certaine version (la 9? je sais plus), utilise une puce spécifique pour la sécu et le chiffrement, et que donc il faudrait intervenir (physiquement) sur cette puce pour bypasser les limitations d’essais.

chez Android, si t’as accès au téléphone, tu peux lui faire bouffer n’importe quel firmware et exploser ces mêmes limitations.



il me semble que c’est ce dont veut parler l’article.


il me semble que personne n’a prétendu qu’un système de chiffrement comme celui d’Apple était inviolable. pas même Apple, d’ailleurs.

Apple prétendait que c’était illégitime de lui demandait de pondre des outils pour cracker ses propres solutions de sécu.

Lors des auditions au congrès, ils ont bien dit que le FBI avait évidemment toute liberté pour tenter de le faire lui-même ou à l’aide d’un tiers. juste pas Apple.<img data-src=" />


j’avais pas vu ça comme ça en effet.


je vois très mal le fbi donner sa recette a apple, ce serait lui tirer une balle dans le pied


Depuis Android 5 on peut chiffrer ses données ? Je ne trouve rien sur le mien <img data-src=" /> (récent, pas encore tout exploré)








hellmut a écrit :



il me semble que personne n’a prétendu qu’un système de chiffrement comme celui d’Apple était inviolable. pas même Apple, d’ailleurs.

Apple prétendait que c’était illégitime de lui demandait de pondre des outils pour cracker ses propres solutions de sécu.

Lors des auditions au congrès, ils ont bien dit que le FBI avait évidemment toute liberté pour tenter de le faire lui-même ou à l’aide d’un tiers. juste pas Apple.<img data-src=" />





Rien n’empêche un constructeur Android de mettre une puce TPM, Linux gère ça très bien.



Quand à ma ROM LG, elle refuse carrément de chiffrer le téléphone s’il n’est protégé que par un simple code PIN (obligé d’activer le verrouillage par mot de passe). Ce qui règle le problème, car la nécessité d’un timer (iPhone 5) ou d’une puce TPM (iPhone6+) n’est dû qu’à la faiblesse du mot de passe de base (5 ou 6 chiffres)



Quand Apple, à leur place je pousserai déjà une MàJ qui remplace les certificats utilisés pour signer les MàJ,&nbsp; car si ça se trouve, c’est eux qui ont étés piratés.



ils ont un ordinateur quantique en activité ?&nbsp;


“Apple s’était opposée à l’ordonnance délivrée par le tribunal de Riverside, jugeant que non seulement la demande représentant une charge excessive, mais qu’il en résulterait des dégâts certains sur son image et donc son chiffre d’affaires. En outre, elle accusait le FBI de chercher à obtenir par les tribunaux ce qu’il n’avait pu avoir par le Congrès avec le rejet de la loi CALEA II.”



Enfin, la voila, la vraie raison… Apple a super bien géré la comm’ de cette affaire : il s’est présenté comme le défenseur de la vie privée des utilisateurs, alors qu’en réalité Apple coopère régulièrement avec les autorités américaines, comme toutes les sociétés américaines, lorsqu’un juge demande à ce que les données d’un utilisateur stockées sur les serveurs d’Apple (par exemple iCloud) soient communiquées.



La seule chose qui dérange Apple dans cette histoire avec le FBI c’est que 1/ la solution demandée par le FBI aurait nécessité du temps, et donc de l’argent, de la part d’Apple, 2/ ça aurait nuit à son image de marque. Parce que sinon, vis-à-vis du droit au respect de la vie privée des utilisateurs, c’est pas plus choquant de faire ce que le FBI demandait à Apple dans le cadre de cette affaire, que de faire ce qu’Apple fait régulièrement, c’est-à-dire communiquer aux autorités les données d’utilisateurs stockées sur ses serveurs…


Tu y es presque : Apple collabore lorsqu’il s’agit d’un juge, mais ne veut rien faire quand il s’agit d’une enquête par une administration US.



Et, dans un sens, c’est juste normal : ne pas collaborer avec le Justice, c’est de l’entrave. Envoyer le FBI sur les roses, c’est pour éviter qu’une administration se crée un précédent.



Après on est d’accord, Apple joue là son image de marque et ses futurs bénéfices, et ça me fait gerber que ça soit la ligne de défense pour protéger ses utilisateurs.


Même avant Android 5. Sous Jelly Bean, c’est possible en tout cas, si je ne dis pas de bêtise. Onglet Sécurité (ou similaire).








Winderly a écrit :



“une inversion ironique des rôles”

<img data-src=" /> J’aime.





+1



La question de “en combien de temps” et “avec quels moyens techniques” a quand même son importance, si la réponse à l’une des deux devient démesurées, le pari est plutôt bien tenu.


Concernant la sécurité sur Android, je vous invite à regarder du côté de ce blog en anglais qui détaille plutôt bien la sécurité jusqu’à la preview d’Android Lollipop :http://nelenkov.blogspot.fr/2014/10/revisiting-android-disk-encryption.html

Et pour Android Marshmallow (valable aussi sur Lollipop) le fonctionnement du keystore (hardware) :http://nelenkov.blogspot.fr/2015/06/keystore-redesign-in-android-m.html

C’est là-dessus que se base le chiffrement complet des partitions, à condition bien évidemment que le téléphone possède cette fonctionnalité…

TL;DR : C’est propre comme sécurité, même si techniquement les partitions peuvent être copiées plus facilement que sur des Apple, accéder aux données chiffrées reste très complexe.


Est ce que le FBI a trouvé des données susceptibles de l’aider dans la suite de son enquête ???&nbsp;