Attaqué pour son utilisation d’une faille de sécurité secrète dans iOS, le FBI a fini par dévoiler un document de 100 pages dans lequel il dévoile la technique utilisée. Malheureusement, les informations cruciales sont classifiées et donc barrées de noir.
L’opposition entre Apple et le FBI est maintenant connue. La tuerie de San Bernardino (14 morts), en décembre 2015, a été orchestrée par un couple. Le principal suspect, Syed Farook, possédait un iPhone 5C, retrouvé sur les lieux de la tragédie. L’affaire, prenant rapidement un tour antiterroriste, a été prise en main par le FBI, qui a cherché à obtenir d’éventuels précieux renseignements dans le smartphone.
Le FBI a couru derrière Apple, Apple a couru derrière le FBI
Problème, le contenu était chiffré. Dans iOS, la clé prend en partie appui sur le code de verrouillage de l’utilisateur. Inconnu d’Apple, la firme a répété inlassablement qu’elle ne pouvait pas aider le FBI. Ce dernier s’est retrouvé coincé : impossible de savoir si Farook avait activé l’effacement automatique des données en cas d’échecs trop nombreux sur le code.
Le Bureau a alors haussé le ton, menaçant Apple de la forcer à obtempérer, par voie de justice si nécessaire. Puis, alors que les avocats affutaient les armes, surprise : l’agence n’avait plus besoin de l’entreprise. Pourquoi ? Parce qu’une faille de sécurité dans iOS avait été trouvée, et qu’elle permettait de contourner le chiffrement, donc d’obtenir les données. Apple, dans un retournement de situation, a alors demandé au FBI de bien vouloir présenter les détails techniques de la vulnérabilité pour qu’elle soit colmatée. Peine perdue, l’agence avait tout à fait le droit de les garder au secret, dont acte.
Six mois plus tard, trois organes américains de presse – The Associated Press, USA Today et Vice Media – déposent plainte contre le FBI, en vue d’obtenir les détails techniques de cette brèche. Deux angles d’attaque étaient fournis. Le premier, une question de transparence sur l’utilisation des fonds publics (on sait que la faille a coûté au moins 1,3 million de dollars). L’autre tout aussi évidente : le danger représenté par une faille ouverte et donc laissée aux quatre vents.
Un document de 100 pages copieusement noircies
La plainte, prenant appui sur la loi FOIA (Freedom of Information Act), a fini par faire mouche, comme l'indique The Associated Press. Les trois organes de presse ont obtenu un document de 100 pages dans lequel la méthode utilisée est décrite avec précision. Malheureusement, toutes les informations cruciales ont été barrées de noir et sont donc impossibles à lire. Ces détails ont été classifiés, et le secret a tout simplement la priorité sur la loi FOIA.
On y apprend cependant que durant le bras de fer avec Apple, le FBI avait lancé un appel d’offres. Mission, obtenir une aide technique sur la récupération des données. Trois entreprises avaient répondu, puis une fut sélectionnée. Des accords de non-divulgation empêchant là encore d’en savoir davantage.
Le secret d'une faille plus lourd que la liberté d'information
Pour comprendre cette zone d’ombre, il faut rappeler que toute faille de sécurité entrant dans la mécanique fédérale est analysée selon un processus particulier, que la NSA avait d’ailleurs rappelé quand elle avait précisé que 91 % des vulnérabilités étaient communiqués aux sociétés concernées. Au terme de ce circuit, des experts déterminent si la brèche est « rendue » ou si elle est mise de côté pour une utilisation ultérieure. Dans ce cas, aucune demande ne peut rétablir la lumière, même devant les tribunaux.
L’argument de la sécurité, pourtant le plus lourd, ne pesait donc pas suffisamment face à une possible réutilisation de la technique dans des affaires similaires. Sans ces détails, Apple ne peut pas savoir où chercher, la faille restant exposée. Des pirates pourraient tout à fait la découvrir et l’utiliser pour d’autres opérations, aux objectifs moins « nobles ».
Aux États-Unis, l’affaire avait relancé l’éternel débat sur le curseur, qui oscille en permanence entre bonne marche des enquêtes et sécurité des utilisateurs. Le danger entourant le marché des failles de sécurité est connu depuis longtemps, les forces de l’ordre étant dans l’incapacité de certifier que des vulnérabilités ne seront pas découvertes et exploitées de manière malveillante. Pour rappel, l’affaire des outils volés à la NSA avait révélé par exemple de vieilles failles dans des équipements réseau de Cisco et Fortinet. Elles avaient été colmatées, mais leur âge (plusieurs années) faisait peser de lourds soupçons sur des utilisations détournées.
Commentaires (67)
#1
Haha, j’adore :)
#2
Un document de 100 pages copieusement noircies
Au début, les agences gouvernementales ne disaient rien.
Ensuite, elles disaient qu’elle ne pouvaient rien dire.
Maintenant, elles disent qu’elles " /> sur le " /> car ca pourrait causer " />
C’est beau le progrès.
#3
Bon ba voilà, ils l’ont eu dossier explicatif.
Bien joué le FBI, les assos doivent bien se trouver conne.
#4
Jusqu’à ce que quelqu’un trouve une technique pour “dénoircir” les pages tout en conservant le texte d’origine " />
#5
“Le FBI a couru derrière Apple, Apple a couru derrière le FBI”
fallait pas dire non au début :p
#6
Ah le secret défense, je crois que c’est la plus belle saloperie innventée par les démocraties pour faire tout et n’importe quoi dans le dos des citoyens. :)
#7
Ca me rappelle un gag il y a quelques années avec un document noirci via word ou un truc du genre… suffisait d’enlever le marquage / surligner le texte pour voir les “secrets” " />
#8
(les Hackers) ….et l’utiliser pour d’autres opérations, aux objectifs moins « nobles ».
tant pis pour Apple, le FBI PREFER E courir le risque !
mais, tôt ou tard : cette affaire fuitera ….“obligé” … 1-3-5 ans ?
#9
(les Hackers) ….et l’utiliser pour d’autres opérations, aux objectifs moins « nobles ».
tant pis pour Apple, le FBI PREFER E courir le risque !
mais, tôt ou tard : cette affaire fuitera ….“obligé” … 1-3-5 ans ?
#10
Maintenant on a le capteur d’empreinte digitale. Qu’est-ce qui empêche le FBI de couper le doigt de son propriétaire qui ne veut pas parler ou qui est mort, pour déverrouiller l’iphone ? " />
#11
Ce qui empêche c’est que c’était un 5C. Pas de capteur d’empreintes sur celui-là..
#12
Agence du gouvernement aux méthodes et aux intentions obscures vs Société privée aux méthodes et aux intentions obscures… j’adore
#13
#14
Un titre alléchant, un assez long article qui reprend pour l’essentiel des articles précédents avec la nouveauté qui est : en fait les informations intéressantes ont été censurées.
Bref, je suis plutôt déçu. Tirer à la ligne est contre productif. Autant faire une brève quand il y a peu d’infos.
#15
#16
#17
Très socratique, cette actu. Tout ce qu’on sait, c’est qu’on ne sait rien.
#18
#19
Souvenirs souvenirs …
https://www.nextinpact.com/archive/57779-arcep-pdf-informations-confidentielles-…
Bon on peut se dire que le FBI sait correctement caviarder un document, après tout c’est leur métier :)
#20
AH? En masquant les détails? Ils ont appris de l’erreur TSA master key?
#21
#22
You made my day ! " />
#23
#24
#25
#26
#27
dans toutes ces histoires, les agences américaines sont bien arrogantes de penser qu’elles détiennent l’exclusivité des failles.
Si certaines sont exploitées par la NSA ou FBI, il n est pas exclu qu’elles le soient aussi par les services Russes, Chinois ou n importe quel autre.
J’imagine que cela doit faire partie de la gestion des risques: quelles failles sont transmises aux constructeurs pour être colmatées, lesquelles sont gardées avec le risque que l’ennemi les exploitent aussi!
#28
Le chat dans la boite est à la fois mort et vivant.
" />
#29
Toute façon c’est forcément Cellbrite qui a pu déverrouiller l’iPhone.
" />
#30
#31
Depuis les multiples frasques de la NSA, FBI, russes… ils démontrent aux gens que le détournement de fonctionnement ou de sécurité d’un appareil devient toléré alors que c’est totalement illégal. Comment accorder une crédibilité à la justice pour appliquer la loi maintenant ?
PS : les USA ont beau avoir pondu une loi les autorisant à le faire, c’est toujours illégal tout comme le droit de tuer ;)
#32
#33
#34
Avoue que tu le voudrais aussi à côté de ton avatar " />
#35
Oui, mais c’est pas pareil, c’est NOUS les gentils, m’voyez.
#36
franchement, en dehors du détail de l’appel d’offre, on ne sait rien..
#37
#38
#39
#40
#41
as tu lu mon commentaire jusqu’au bout?
#42
#43
#44
Exactement, d’ailleurs je n’ai pas le droit de venir chez toi t’arreter, je pense pense donc que les forces de l’ordre ne devraient pas avoir le droit d’arreter qui que ce soit.
#45
#46
#47
Oui, et ça ne change pas ma remarque, au contraire.
#48
#49
#50
#51
Amusant de penser que le FBI dont le but est de protéger les les USA globalement (et pas uniquement contre des menaces terroristes) se permet de dire à un des plus grands groupes qu’il a réussi a pirater un smartphone utilisé au privé comme au niveau commercial par des millions de gens mais qu’ils ne communiqueront pas assez pour que cette faille soit résorbée.
C’est irresponsable et démontre soit la psychose dans laquelle se trouve ce pays, soit le mépris absolu de l’autorité pour protéger la vie privée des citoyens.
c’est à se demander comment travaillait la police avant l’arrivée des téléphones portables…
#52
Tu oublies une chose. Les services secrets de quelques pays (usa, gb, israel et sûrement d’autres -ajouter à cela les “five eyes”) ont des backdors à dispositions.
Cela à clairement été dévoilé par Snowdens et Wikileaks
plus de lanceur d’alertes ou de “traitre” (sa dépend ou l’on se place) = plus de fuite
#53
#54
Je pense avoir suivi l’affaire. Mais je dis juste qu’il y a des cas où on ne pourra jamais récupérer les empreintes digitales.
#55
C’est surtout que l’empreinte digitale ne suffit pas, puisque iOS demande régulièrement le mot de passe du téléphone pour justement minimiser ce genre d’attaque.
#56
#57
#58
Je pense que qcq de déterminé à tuer sans crainte de perdre sa vie, il y arrivera de toutes façons si il est pas trop bête.
Heureusement, les terroristes sont rarement les plus futés, par ex ceux qui veulent entrer au stade de France sans avoir penser à acheter un ticket…
Chercher la sur enchère entre media et politique aboutissent à un resserrement des libertés qui pourront peut être rendre la tâche un poil plus compliqué pour 0.0001% mais emmerdent 99.999% de la population!
(ex typique du truc qui sert à rien: les fluides en bagages à main limités à des packages de 100 ml depuis les attentats de Londres en 2005 - il était question d’abroger cela après 10 ans, mais non, on va dans la surrenchere en attendant les scan complets).
Il serait bcp plus pertinent de lutter contre tout ce qui peut pousser les terroristes à passer à l acte.
Si les sujets de sécurité et de peur n’étaient pas aussi présents, les populations se sentiraient bcp mieux AMHA.
“Je ne connaîtrai pas la peur, car la peur tue l’esprit. La peur est la petite mort qui conduit à l’oblitération totale.”( https://fr.wikiquote.org/wiki/Dune )
#59
#60
#61
#62
#63
#64
#65
Il ne suffit pas à apple d’acheter la faille à la société en question du coup?
#66
#67