BBM : la police canadienne a utilisé la clé de déchiffrement de BlackBerry

BBM : la police canadienne a utilisé la clé de déchiffrement de BlackBerry

Avec ou sans approbation, la question reste entière

Avatar de l'auteur
Vincent Hermann

Publié dans

Société numérique

15/04/2016 6 minutes
31

BBM : la police canadienne a utilisé la clé de déchiffrement de BlackBerry

Une instruction en cours au Canada a révélé que la police avait été en possession de la clé de déchiffrement que BlackBerry utilise pour les échanges de messages entre utilisateurs du grand public. La défense exige son obtention afin de prouver que les messages incriminants sont authentiques.

La police canadienne serait bien en possession de la clé globale de déchiffrement de BlackBerry depuis 2010. L’article de Vice pointe des documents issus d’un tribunal et montrant que les forces de l’ordre ont pu notamment mettre en place une opération de surveillance des communications sur des messages échangés entre BlackBerry. Ces échanges étant chiffrés, leur contenu ne pouvait être obtenu qu’à travers la fameuse clé.

Pour comprendre la situation, précisons d’emblée qu’il existe deux cas bien distincts chez BlackBerry. Les smartphones de la marque utilisés dans un cadre grand public peuvent bien s’échanger des messages chiffrés via BBM, mais la clé est en possession de BlackBerry. En entreprise cependant, quand un Enterprise Server (BES) est mis en place, une clé de chiffrement/déchiffrement peut être créée et stockée à part. BlackBerry n’a alors aucun moyen de savoir ce qui transite.

Quatre criminels et une clé

L’opération de la police canadienne a été mise en place suite à une affaire de meurtre dans le cadre d’une organisation mafieuse. Les documents du tribunal montrent qu’à partir de 2010, et au moins jusqu’en 2012, les forces de l’ordre ont non seulement pu obtenir les identités qui se cachaient derrière quatre pseudos, mais que les messages eux-mêmes ont pu être lus. Aaaaaaacounts était donc Pietro Magistrale, Shadow était Felice Racaniello, Gâteau était Steven Fracas et JJ était Jack Simpson. Traqués, ces quatre hommes ont ensuite été impliqués dans le meurtre de Salvatore Montagna, le 24 novembre 2011.

Si la RCMP (Royal Canadian Mounted Police) a bien obtenu la clé, on ne sait en revanche pas exactement comment. Les documents indiquent que la police a contacté l’opérateur concerné (Rogers) ou BlackBerry, ou même les deux. Aucune trace écrite ne précise qui a donné la clé, et il reste possible que la RCMP l’ait obtenue autrement, sans que BlackBerry ait son mot à dire. En tout, ce sont pas moins d'un million de message environ qui ont été déchiffrées par ce biais durant toute la durée de l'enquête.

blackberry canada
Crédits : Vice

La défense exige la clé de déchiffrement

Or, l’utilisation de cette clé a provoqué un grand débat au tribunal. L’accusation est restée particulièrement silencieuse sur la source de ces informations, alors que la défense a demandé au contraire à ce qu’on lui communique toutes les pièces, y compris la clé. L’explication est simple : elle avait besoin de savoir si les messages étaient authentiques. L’accusation s’est retrouvée en partie coincée entre l’affirmation que les échanges étaient bien ce qu’elle prétendait être et la nécessité de garder la clé secrète.

Pour l’avocat du gouvernement canadien, pas question cependant de donner cette clé. L’embarras était cependant perceptible : « Je vais me retenir de faire le moindre commentaire parce que nous marchons sur un fil très très mince. Je ne veux pas tomber dans un piège ». Le juge a pourtant appuyé la défense pendant un temps, avant de se rétracter.

Le gouvernement canadien et BlackBerry bloquent la demande

Le gouvernement en a simplement appelé à son privilège de ne pas avoir à répondre aux questions du tribunal sur ce type d’affaire. Il a également indiqué que toute révélation sur ce chapitre très sensible pourrait avoir un impact négatif sur les finances de BlackBerry. Par ailleurs, une telle révélation mettrait en danger la relation entre la société et les forces de l’ordre.

BlackBerry s’est elle aussi récriée face à une telle demande. Alan Treddenick, directeur de la sécurité nationale dans l’entreprise, a expliqué qu’accepter une telle demande (fournir la clé à la défense) « impacterait potentiellement les relations avec les autres utilisateurs ainsi qu’avec globalement les enquêtes criminelles dans tous les pays étrangers où BlackBerry est installée et fournit des services de communication ».

Ni confirmation, ni déni 

On notera d’ailleurs que ni la RCMP, ni BlackBerry n’ont confirmé cette version des évènements, pas plus qu’ils ne l’ont niée. La question de savoir si la RCMP continue d’avoir la clé en sa possession reste entière, même si les documents semblent indiquer que c’est bien le cas.

Dans tous les cas, ces révélations arrivent à un carrefour particulier de l’histoire informatique. Le chiffrement est au cœur des débats, et pas seulement aux États-Unis où l’affrontement entre Apple et le FBI a éclairé à nouveau la question centrale : quelle place donner à cette sécurité quand elle peut ralentir, voire bloquer certaines enquêtes ? Pour l'instant, l'instruction canadienne est toujours en cours.

BlackBerry, durant cette période, aura sans doute fort à faire pour défendre des accusations qui vont fatalement pleuvoir pour attaquer sa position forte sur la sécurité. Le fait qu'un produit grand public comme BBM utilise une clé de déchiffrement globale n'est en rien étonnant. Ce n'est pas différent de ce que l'on trouve par exemple chez Apple avec iCloud, qui a bien la capacité de remettre aux autorités les données réclamées en cas de mandat délivré par un juge. Mais le calendrier tombe au plus mal pour BlackBerry car la sécurité et la protection des données sont désormais les deux forces principalement mises en avant. Et ce d'autant plus que l'entreprise s'était vantée en 2013, peu après les premières révélations de Snowden, d'échapper complètement aux machinations de la NSA.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Quatre criminels et une clé

La défense exige la clé de déchiffrement

Le gouvernement canadien et BlackBerry bloquent la demande

Ni confirmation, ni déni 

Commentaires (31)


Je me rappelle que Rim, lors des émeutes de Londres avait fini par donner les données de ses utilisateurs incriminés. Pareil en Inde je crois.


Du coup, les pièces sont recevable ou pas ? Si oui, c’est pratique pour l’accusation.


Sans fournir la clé qui a servi à déchiffrer les données comment certifier que ce sont bien les véritables données inaltérées fournies par l’accusation ?



Je suis sur qu’en inventant un algorithme sur le pouce avec une clé bidon je pourrais donner n’importe quel sens à une suite de données aléatoires… (typiquement un bête xor avec les données que je cherche réellement et prétendre que la complétion est la clé de déchiffrement !)



Un peu comme une sorte d’étude numérologique bidon…


BlackBerry a toujours dit qu’ils collaborent avec les autorités en cas de crimes ou de terrorisme.



Ça ne concerne effectivement pas les clients BES, on a pu le voir lors du bras de fer avec le gouvernement pakistanais.


Au fur et à mesure des news concernant Blackberry, j’ai l’impression de voir, par anticipation, ce qui attend les autres compagnies et potentiellement ce qui sera révélé au fur et à mesure <img data-src=" />


“quelle place donner à cette sécurité quand elle peut ralentir, voire bloquer certaines enquêtes&nbsp;?”

Rien a foutre de leur pleurnicheries, qu’ils fassent leurs enquêtes SANS espionner massivement tout ce qui bouge. Il a toujours eu des enquêtes longues, des enquêtes qui n’aboutissaient pas. Bien sur ça faciliterais grandement le boulots des flics de mettre tout le monde en cabane, comme ça on serait certain que toutes les enquêtes sont résolues… Le travail de la police est un travail difficile et cela doit le rester sinon nous vivrons bientôt dans un état policier.


Il y a toujours des utilisateurs de BB ? <img data-src=" />








DotNerk a écrit :



Au fur et à mesure des news concernant Blackberry, j’ai l’impression de voir, par anticipation, ce qui attend les autres compagnies et potentiellement ce qui sera révélé au fur et à mesure <img data-src=" />





tout vient à point à qui sait attendre









Ricard a écrit :



Il y a toujours des utilisateurs de BB ? <img data-src=" />





tout pleins, ceux qu’ont ni tel classique ni smartphone

c’est encore très apprécié



Je confirme et ce, pour différentes raisons <img data-src=" />


Sur 1 million de message arriver à avoir un résultat probant ça reste chaud quand même si ce n’est pas la vrais clef…



Il faudrait quand même un sacret bout de temps pour arriver à trouver une clef inventée qui te convienne qui déchiffre autant de message et qui veuille dire quelque chose déjà, et en plus quel que chose qui t’arrange…


Présent <img data-src=" />



Notamment pour le clavier physique, j’utilise aucune application et pour mon usage pro, je ne sais pas pourquoi mais ayant paramétré des règles dans mon webmail perso, je vois dans le hub l’ensemble des mails qui sont dans les sous-sous-dossiers. J’ai essayé sur un Iphone et j’étais obligé de deviner que j’avais reçu un mail pour aller sur le sous-sous-dossier pour que ça s’actualise. Ceci était rédhibitoire dans mon cas. J’avoue ne pas avoir testé sous Android ou un Windows Phone s’il y avait ce même “souci”.



Les autres choses qui m’ont décidé c’est blend et “Docs To Go”. Quand je modifie un document dans “Docs To Go” il “reste” sur mon téléphone quand j’ai tenté sur un Iphone avec “Numbers”, ça m’obligeait à passer par Icloud et par principe je n’étais pas fan de cette “appropriation” de la part d’Apple de mes documents et ceux de mes clients. Ici non plus, pas testé avec un Android ni un Windows Phone et/ou une application tierce. Le fait que “Docs To Go” soit en natif était un plus pour moi <img data-src=" />


Il faudrait aussi voir si les messages déchiffrés n’étaient pas chiffrés par les méchants pas beaux&nbsp; du genre “Le poney à 5 pattes a franchi les Alpes à reculons de nuit”&nbsp; <img data-src=" />








trekker92 a écrit :



tout pleins, ceux qu’ont ni tel classique ni smartphone

c’est encore très apprécié



Les BB ne sont pas des smartphones? On m’aurait menti à l’insu de mon plein gré?









Mithrill a écrit :



J’ai même envie de dire qu’il n’y a pas plus smartphone qu’un Blackberry… ou que les feux smartphones Nokia.





“her trolling level is over 9000 !” détruit sa demie google glass dans son poing









Ricard a écrit :



Il y a toujours des utilisateurs de BB ? <img data-src=" />





Oui, présent ! :)



Tu chiffres un message, si ils sont capables de le déchiffrer alors ils ont la clef, CQFD.


En clair ou en crypté. <img data-src=" />


Hum je me demande si la certification par “challenge” est bien prévue dans le cadre d’un procès <img data-src=" />



Mais en effet à défaut de fournir la clé à la défense pour qu’elle ai accès au même dossier que l’accusation ça devrait être un pré-requis de vérifier que la pièce “clé privée” est valide en demandant aux autorités de déchiffrer un message précis dont la défense connait le contenu à l’avance…



Enfin ça fonctionne pour le cas d’une “master key” fourni par un service tiers, si ça concernait un échange type GPG la défense n’aurait aucun intérêt à prétendre posséder l’autre clé pour initier un challenge, ça serait de l’auto-incrimination <img data-src=" />








kypd a écrit :



Sans fournir la clé qui a servi à déchiffrer les données comment certifier que ce sont bien les véritables données inaltérées fournies par l’accusation ?



Et bien sûr la clé de déchiffrement peut aussi chiffrer je suppose ? Du

coup même si la défense obtient la clé les messages auraient quand même

pu être authentiquement faux , forgés par l’autre camp ?&nbsp; Exemple de fabrication de “preuves” à base de témoignages biaisés &nbsp;https://www.washingtonpost.com/local/crime/fbi-overstated-forensic-hair-matches-…



Si tout le monde était espionné en masse aveuglément comme tu l’insinues , ils n’auraient pas besoin de réclamer les clés de déchiffrement à chaque affaire….Pour recuperer des infos qu’ils auraient déjà ?



La vérité est quelque part entre les bisounours et le complot mondial.


C’est quoi encore que cette distinction arbitraire entre particuliers et entreprises ? En gros, BB permet aux entreprises de ne pas se faire choper en cas de grosses malversations financières, ou délit d’initié, etc.


S’il y a une clef de déchiffrement, c’est qu’il s’agit de chiffrement asymétrique et qu’il existe donc une clef de chiffrement qui elle est connue publiquement. Donc il est possible de savoir si un texte clair a été chiffré par un même processus de chiffrement en comparant le texte chiffré et un texte crypté qui doivent être identiques.

Il suffit donc d’avoir : un texte crypté, la clef et le programme de chiffrement (récupérables sur l’appareil blackberry), le texte clair (données utiles + données aléatoires (sel, bruit, etc.))



A moins qu’il &nbsp;s’agisse d’un algorithme de chiffrement qui puisse produire des chiffrés différents avec des entrées strictement identiques…








Drepanocytose a écrit :



C’est quoi encore que cette distinction arbitraire entre particuliers et entreprises ? En gros, BB permet aux entreprises de ne pas se faire choper en cas de grosses malversations financières, ou délit d’initié, etc.





As tu seulement idée de la valeur de certaines données confidentielle pour certaines entreprise? &nbsp;Avoir la clef possédée par un tiers est inconcevable…et pas besoin que ce soit des donnés pour cacher quelques milliers/millions de $.









Krogoth a écrit :



As tu seulement idée de la valeur de certaines données confidentielle pour certaines entreprise?  Avoir la clef possédée par un tiers est inconcevable…et pas besoin que ce soit des donnés pour cacher quelques milliers/millions de \(.





Le rapport ?

As-tu selement idée du mal que peut faire la divulagation de certaines infos sur une vie humaine ?

OSEF des millions de \)
, moi ce que je vois c’est qu’encore une fois, les besoins/envies des entreprises passent au dessus des besoins/envies des humains.









Drepanocytose a écrit :



C’est quoi encore que cette distinction arbitraire entre particuliers et entreprises ? En gros, BB permet aux entreprises de ne pas se faire choper en cas de grosses malversations financières, ou délit d’initié, etc.





La distinction n’est pas arbitraire :



Pour comprendre la situation, précisons d’emblée qu’il existe deux cas bien distincts chez BlackBerry. Les smartphones de la marque utilisés dans un cadre grand public peuvent bien s’échanger des messages chiffrés via BBM, mais la clé est en possession de BlackBerry. En entreprise cependant, quand un Enterprise Server (BES) est mis en place, une clé de chiffrement/déchiffrement peut être créée et stockée à part. BlackBerry n’a alors aucun moyen de savoir ce qui transite.



Donc si tu es un utilisateur “non BES” c’est BB qui peut aider l’enquête, sinon il faut voir avec l’entreprise responsable. Et en général, on ne commence pas par devoir déchiffrer des messages pour trouver le début d’une malversation en entreprise : on découvre qu’il y a un problème, on ouvre l’enquête et l’entreprise doit coopérer pour trouver les coupables, le refus d’obtempérer étant très grave… <img data-src=" />









Drepanocytose a écrit :



Le rapport ?

As-tu selement idée du mal que peut faire la divulagation de certaines infos sur une vie humaine ?

OSEF des millions de $, moi ce que je vois c’est qu’encore une fois, les besoins/envies des entreprises passent au dessus des besoins/envies des humains.





Euh…





Drepanocytose a écrit :



C’est quoi encore que cette distinction arbitraire entre particuliers et entreprises ? En gros, BB permet aux entreprises de ne pas se faire choper en cas de grosses malversations financières, ou délit d’initié, etc.





Faut rester cohérent dans ses propos quand même.









Krogoth a écrit :



Euh…



Faut rester cohérent dans ses propos quand même.





Bah c’est cohérent, où est le souci ?

On flique les gens mais on permet aux entreprises de se faire moins facilement fliquer.

Concretèment, avantage aux entreprises, alors que ca devrait être avantage aux humains.



Tu commences a parler de:

&nbsp;“grosses malversations financières, ou délit d’initié”.

&nbsp;

Puis tu réponds en disant:

&nbsp;“OSEF des millions de $”



Donc non ce n’est pas cohérent.