Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

iPhone (dé)verrouillé : le FBI a payé la faille au moins 1,3 million de dollars

Chiffrement FTW
Mobilité 5 min
iPhone (dé)verrouillé : le FBI a payé la faille au moins 1,3 million de dollars
Crédits : billyfoto/iStock

Le FBI a manifestement payé cher, très cher, la faille 0-day qui a été utilisée sur l’iPhone 5c de San Bernardino pour extraire ses données. Le directeur de l’agence, James Comey, a donné l’information sous forme indirecte, relançant une fois de plus la question d’un véritable trafic de ces brèches.

On sait depuis fin mars que le FBI a utilisé au moins une faille de sécurité pour pénétrer les défenses d’un iPhone 5c sous iOS 9. Le smartphone appartenait à Syed Farook, responsable avec sa femme de la fusillade de San Bernardino le 2 décembre dernier. Cette tuerie avait été revendiquée deux jours plus tard par Daech, donnant à l’enquête un caractère anti-terroriste.

Du procès médiatisé à la faille de sécurité

L’iPhone avait résisté aux tentatives des enquêteurs. Depuis iOS 8, le code PIN de verrouillage du système est devenu un élément dans la composition de la clé utilisée pour chiffrer les données. Le FBI souhaitait qu’Apple déverrouille le smartphone pour y récupérer les informations, ce à quoi la firme avait objecté que sans ce précieux code, elle ne pouvait rien faire. Le ton avait monté, jusqu’à l’annonce par le FBI que la fameuse aide n’était plus nécessaire.

Toute la procédure à l’encontre d’Apple était retombée comme un soufflé. Apple n’avait pas changé sa ligne de défense d’un iota et semblait d’ailleurs partie pour remporter la bataille juridique. Mais le FBI a quand même obtenu ce qu’il désirait : les données. L’ironie de la situation était palpable, puisque c’est bien Apple qui a couru ensuite après l’agence pour qu’elle lui révèle sa méthode. Et pour cause : il ne pouvait s’agir que d’une ou plusieurs failles de sécurité dont le constructeur n’était pas au courant, autrement dit des failles 0-day.

Apple aimerait évidemment des informations sur cette brèche, mais elle n’a aucun recours pour les obtenir. Chaque vulnérabilité repérée par une agence gouvernementale est passée au crible d’un processus d’évaluation. Soit la faille est jugée « inutile » - et dans ce cas ses détails sont transmis à l’éditeur concerné – soit elle peut être utilisée dans une opération ou une enquête. Dans ce cas, les informations sont gardées pour une durée indéterminée. Si Apple ne trouve pas la faille par d’autres moyens, elle restera ouverte, donc découvrable par des pirates.

Qui, et combien ?

Autour de la brèche, deux questions gravitent en particulier : qui a fourni la méthode, et pour quel prix ? L’identité précise n’est pas connue, mais le Washington Post avait indiqué qu’un groupe de hackers (et non pirates) s’était présenté au FBI en affirmant posséder la méthode qui faisait défaut aux enquêteurs. Après une période de test, elle s’était révélée concluante, aboutissant au résultat que l’on connait.

La question du prix était tout aussi importante. On pouvait se douter que la faille n’allait pas être bon marché, pour plusieurs raisons. D’abord parce que le Washington Post indiquait qu’au moins un membre du groupe était un « grey hacker », collectant des failles de sécurité pour les offrir au plus offrant. Ensuite parce qu’il suffisait de se rappeler que la société Zerodium était allée jusqu’à offrir un million de dollars pour une faille capable de fonctionner sur iOS 9, avec tous les détails d’exploitation. Quelques jours après seulement, elle avait fermé le concours, précisant qu’il avait été remporté mais que les détails ne seraient pas fournis à Apple.

Nécessairement plus de 1,34 million de dollars

Or, le directeur du FBI, James Comey, était hier à Londres pour la conférence Aspen Security Forum. Plusieurs questions lui ont été posées et les réponses, rapportées par Reuters, contiennent des renseignements précieux. Interrogé notamment sur la somme dépensée par le FBI pour la faille, il a indiqué simplement « beaucoup » dans un premier temps. Invité à préciser, il n’a pas donné le montant exact, mais a ajouté : « Plus que ce que je vais avoir durant le temps restant à mon poste, c’est-à-dire sept ans et quatre mois ».

À partir de là, le montant minimal de la faille n’est plus vraiment très complexe à calculer. Reuters a ainsi trouvé le salaire de Comey, qui était au 1er janvier 2015 de 183 000 dollars par an. Une fois la somme dument multipliée par le temps restant sur son poste de directeur, le montant devient 1,34 million de dollars. Il ne s’agit pas du montant exact, le directeur ayant bien précisé que le FBI avait dépensé « plus ».

Soutenir le chiffrement et payer pour le percer

L’information peut provoquer la surprise, surtout que les informations finalement obtenues étaient a priori sans grande valeur, mais Comey a ajouté que payer avait « valu le coup » : « Parce que c’est un outil qui nous aide pour un iPhone 5c sous iOS 9, ce qui était un peu un cas extrême. Je pense qu’il est très, très important que nous puissions entrer dans l’appareil ». Le tout en réaffirmant qu’il était lui-même « un grand soutien du chiffrement fort ».

Dans un contexte où personne ne sait encore si le chiffrement peut l’emporter face à la sécurité et aux propositions de lois, il est intéressant de constater que le directeur du FBI n’hésite pas à afficher une position ambivalente. Car il est délicat de promouvoir un chiffrement fort tout en réclamant d’Apple qu’elle perce ses propres protections. Peut-être est-ce là d’ailleurs le futur tel qu’envisagé par le FBI : laisser faire le chiffrement, mais investir dans des failles capables de le contourner.

60 commentaires
Avatar de ProFesseur Onizuka Abonné
Avatar de ProFesseur OnizukaProFesseur Onizuka- 22/04/16 à 15:18:32

Ils sont bien payés les fonctionnaires là-bas :eeek2:

Avatar de Lafisk INpactien
Avatar de LafiskLafisk- 22/04/16 à 15:18:57

"payé cher, très cher" .... Franchement, vu les montants dans le domaine de la sécurité informatique, c'est pas hyper cher ...

Avatar de ThomasBrz Abonné
Avatar de ThomasBrzThomasBrz- 22/04/16 à 15:22:04

Question bete si on force avec des mdp erroné le téléphone supprime tout et se réinitialise? Ou il est bon a jeter?

Avatar de kwak-kwak INpactien
Avatar de kwak-kwakkwak-kwak- 22/04/16 à 15:23:24

Non, il y a une erreur dans l'article... 183'00$ par an (source). Ce qui rapporté au coût de la vie à New York (et l'absence de services publics gratuits aux USA) n'est pas énorme.

Édité par kwak-kwak le 22/04/2016 à 15:24
Avatar de misterB Abonné
Avatar de misterBmisterB- 22/04/16 à 15:28:23

Cartmaninpact a écrit :

Ils sont bien payés les fonctionnaires là-bas :eeek2:

moins de 200K par an pour diriger le FBI c'est pas énorme

Avatar de misterB Abonné
Avatar de misterBmisterB- 22/04/16 à 15:29:43

kwak-kwak a écrit :

Non, il y a une erreur dans l'article... 183'00$ par an (source). Ce qui rapporté au coût de la vie à New York (et l'absence de services publics gratuits aux USA) n'est pas énorme.

Le siege et a Washington:D

Avatar de Mihashi Abonné
Avatar de MihashiMihashi- 22/04/16 à 15:31:00

C'est écrit « par mois » dans l'article. Mais du coup ça ferait beaucoup plus de1,3 million pour les 7 ans lui restant à tirer :transpi:.

Avatar de picatrix INpactien
Avatar de picatrixpicatrix- 22/04/16 à 15:31:10

Le FBI est irresponsable si il ne veut pas communiquer cette faille à Apple.
ça veut dire que potentiellement tous les possesseurs d'iphone risquent d'être victimes de personnes mal intentionnées au courant de cette faille.

il n'y a pas de police des polices aux usa ?

Avatar de kwak-kwak INpactien
Avatar de kwak-kwakkwak-kwak- 22/04/16 à 15:31:38

Erreur dans mon commentaire précédent : son salaire c'est 183'000 par an.

Avatar de kwak-kwak INpactien
Avatar de kwak-kwakkwak-kwak- 22/04/16 à 15:38:39

misterB a écrit :

Le siege et a Washington:D

Oops :)

Il n'est plus possible de commenter cette actualité.
Page 1 / 6