Signal pirate les logiciels de Cellebrite : l’arroseur arrosé et des zones d’ombre

Moxie Marlinspike, créateur de la messagerie chiffrée Signal, est tombé récemment sur une sacoche abandonnée appartenant à Cellebrite

Elle contenait toutes sortes de câbles ainsi que les logiciels fournis par la société israélienne, spécialisée dans la récupération d’informations dans les appareils mobiles. Beaucoup ont pensé pendant longtemps qu’elle avait fourni au FBI la fameuse faille ayant permis de récupérer les données dans l’iPhone de San Bernardino.

Les deux principaux logiciels sont UFED et Physical Analyzer, tous deux pour Windows. Le premier est spécialisé dans le « cambriolage » et peut passer outre un certain nombre de verrous et de chiffrements, tandis que le deuxième collecte des évènements. Les deux analysent des données considérées comme non fiables.

Partant de là, Marlinspinke s’attendait à ce que les deux logiciels soient eux-mêmes blindés contre les tentatives d’intrusion. Il n’en est rien : « Nous avons été surpris que très peu d’attention avait été portée aux propres logiciels de sécurité de Cellebrite », indique le chercheur.

Il manquait ainsi de nombreuses défenses, notamment la réduction des risques d’exploitation, classique dans ce domaine d’activité, pavant la voie à de nombreuses opportunités.

La présence de FFmpeg est un cas emblématique. Le logiciel est utilisé pour convertir rapidement des sources audio et vidéo en des formats spécifiques. Surprise, la version utilisée a presque dix ans et n’inclut aucun des correctifs de sécurité (une centaine) sortis depuis 2012.

Marlinspike a notamment une vidéo où l’on peut voir UFED analyser un code spécialement conçu et tomber dans le panneau. Le créateur de Signal a réussi à lui faire afficher simplement une simple fenêtre de message pour les besoins de la démonstration, mais il y a selon lui aucune limite à ce qu’il est possible de lui faire faire. 

Il a également trouvé plusieurs paquets MSI extraits a priori de l’installeur iTunes pour Windows, lui faisant se demander s’il ne s’agit pas d’une violation de la licence Apple.

La crédibilité de Cellebrite en prend un coup, mais il reste des zones d’ombre dans le rapport de Marlinspike. Il dit par exemple avoir trouvé la sacoche par terre lors d’une balade. Il évoque une « incroyable coïncidence  ». D’autant plus incroyable que le fait survient peu de temps après l’annonce de Cellebrite sur la prise en charge de Signal dans ses outils pour l’extraction de données.

Marlinspike propose d'ailleurs un marché : « Nous souhaitons bien sûr révéler de manière responsable les failles spécifiques que nous connaissons à Cellebrite, s’ils font la même chose avec celles qu’ils utilisent pour leur extraction physique et autres services à leurs éditeurs respectifs, maintenant et dans le futur ».

Interrogée par Ars Technica, la société israélienne a simplement indiqué qu’elle mettait tout en œuvre pour protéger ses logiciels.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !