Trois médias américains ont déposé plainte vendredi dernier contre le FBI. Ils veulent obtenir les détails d’un achat réalisé plus tôt dans l’année : une faille de sécurité permettant de débloquer un iPhone 5c obtenu dans le cadre d’une enquête.
Rappel des faits. En décembre 2015, Syed Rizwan Farook et sa femme provoquent une tuerie à San Bernardino. Ils assassinent 14 personnes devant un centre commercial en tirant sur les passants. Ils sont abattus peu après par les forces de l’ordre. Dans l’enquête qui suit, le FBI récupère l’iPhone 5c de Farook mais se heurte rapidement à un mur.
Le mur du chiffrement
Les enquêteurs souhaitent accéder au contenu, mais il est chiffré. La clé utilise le code de verrouillage à quatre chiffres comme composante, rendant l’obtention du code nécessaire. Le FBI demande de manière répétée à Apple de déchiffrer l’appareil, ce que la firme refuse : n’ayant pas accès au code, elle ne peut elle-même accéder au contenu. Le FBI réclame alors la création d’un outil permettant de contourner la protection, démarrant un véritable feuilleton dans lequel l’un et l’autre vont produire de nombreux arguments.
Le FBI finit par déposer plainte contre Apple pour obliger la firme à produire ledit outil. La tension monte pendant plusieurs semaines, jusqu’à ce que l’agence américaine arrête tout : elle vient de trouver un autre moyen d’accéder aux données. Elle indique qu’un groupe de personnes s’est présenté de lui-même en affirmant être en mesure de casser le chiffrement de l’iPhone. Peu de temps après, le FBI confirme que la méthode est fonctionnelle, créant rapidement des soupçons autour d’une ou plusieurs failles. James Comey, directeur du bureau, confirmera quelques jours plus tard qu’il s’agissait bien d’une vulnérabilité, monnayée au moins 1,3 million de dollars.
Mais qui donc a vendu la faille de sécurité ?
S’est ouvert alors une période où les rôles se sont inversés. Apple a en effet réclamé au FBI les détails de la faille : la perspective d’une brèche dans sa sécurité, potentiellement exploitable sur d’autres modèles, représentait une épée de Damoclès. Surtout pour un constructeur qui a fait du respect de la vie privée l’un de ses chevaux de bataille. Pour le FBI, pas question de donner les détails. La réutilisation dans d’autres enquêtes était un facteur primordial.
Cette guerre a attiré de nombreux regards. Trois organes américains de presse ont en particulier cherché à en savoir beaucoup plus. The Associated Press, USA Today et Vice Media ont déposé séparément des demandes d’obtention des détails sur l’accord passé par le FBI avec le groupe qui lui a vendu la faille de sécurité. Basées sur la loi Freedom of Information Act (FOIA), ces requêtes visaient à ouvrir au public les détails contractuels et financiers de l’accord. Point important, les trois médias ne demandaient pas d’informations sur le résultat technique de la méthode utilisée.
Nouvelle requête en tir groupé
Ces demandes ont toujours été rejetées. Mais vendredi, les trois mêmes entreprises sont une nouvelle fois passées à l’attaque, cette fois de manière groupée. À nouveau basée sur la FOIA, la plainte expose le raisonnement de ses auteurs : « Les informations autour de l’accord contractuel du FBI permettraient la transparence sur la manière dont les fonds publics sont utilisés. Connaître le montant que le FBI a estimé approprié de dépenser dans l’outil, ainsi que l’identité et la réputation du vendeur avec lequel il a fait affaire, est essentiel pour que le public supervise efficacement les fonctions gouvernementales et empêchent d’éventuelles inconvenances ».
Pour les plaignants, un public informé est une composante cruciale dans le débat actuel sur le paysage législatif américain autour de ces enquêtes. Quand le FBI tâchait en effet de forcer Apple à percer les défenses de son propre système, la firme répétait que le gouvernement dépassait ses prérogatives, une forme d’abus de pouvoir que la plainte aborde également. Depuis, le débat sur l’efficacité des lois reste pleinement ouvert dans le pays, les trois plaignants estimant que ces informations sont plus que pertinentes dans un tel cadre. Sans parler du débat tout aussi vaste sur la place du chiffrement.
De la valeur d'une faille
Reste qu’il n’y a aucune garantie que cette nouvelle demande, même groupée, puisse aboutir. Les trois requêtes précédentes ont toutes rencontré la même réponse du FBI : révéler ces informations mettrait en danger son pouvoir d’investigation. Rappelons également que toute faille de sécurité passant aux mains d’une émanation du gouvernement américain traverse un processus d’examen. S’il est estimé que la faille a plus de valeur secrète, ses détails ne pourront pas être transmis à l’éditeur correspondant, quoi qu’il puisse faire.
Commentaires (60)
#1
Au final, le FBI ne donnera jamais d’informations pour protéger le groupe en question, et surtout pour se protéger lui même.
C’est fou comme ils appliquent les lois différemment selon que tu sois au gouvernement ou que tu fasses parti de la plèbe… Bon, en fait, on a le même souci partout dans le monde donc …
#2
Avant que ça ne disparaisse à cause de mon signalement :
Surtout pour un constructeur qui a fait du respect de la vie privée l’un des cheveux de bataille
" />" />
#3
La capacité de révéler les détails autour d’une faille, c’est justement la loi, et elle est de côté du FBI ici.
#4
J’ai bien ri aussi " />.
#5
Il a du oublier le peigne ce matin, ca perturbe :)
#6
Une formulation au poil bien qu’un peu tirée par les cheveux !
…
Je sors " />
#7
Et à part ça, il a pignon sur rue ce “groupe qui lui a vendu la faille de sécurité” ? (pour passer des contrats avec le FBI j’imagine que c’est pas une bande de hackers russes qui se font payer en bitcoins…)
Parce qu’on peut aussi parler du coté moral de l’histoire: des gens ayant connaissance d’une faille de sécurité dans un OS mais qui choisissent de le garder pour eux pour faire du pognon avec (serai pas étonné qu’ils ne le vendent pas uniquement au FBI d’ailleurs) plutôt que contacter le constructeur, pas sur que ça mérite le respect.
(NB: j’assume totalement le coté bisounours de mon point de vue)
#8
Je suis étonné que la news ne parle pas de la nouvelle technique qui a été révélé.
Contrairement à ce que dit le FBI, la méthode de copie matériel puis bruteforce fonctionne. Le chercheur indique qu’elle est réalisable pour 100€ de matériel et jusqu’à l’iphone 6 (source: the hackernews).
Un peu la honte pour le FBI du coup…
#9
C’est justement ce que demandent les trois entreprises : qui sont les vendeurs ?
Une société, un labo de recherche, un groupe de hackers, Daesh ?
Dans tous les cas, soit ça la fout mal pour le vendeur, soit pour le FBI…
#10
Question con: sur un Iphone, il se passe quoi en cas d’essai infructueux répétés sur le code de déverouillage ?
Je sais que les sims se bloque au bout de 3 erreurs, comme les CB, mais pour le téléphone ?
Pasque bon, un code à 4 chiffres, c’est maximum 10000 tentatives. C’est pas non plus la mer à boire.
Je pense meme que sans passer trop de temps (et pour beaucoup moins cher que 1.3 M$), il y a moyen de se construire un mécanisme qui tente toute les combis en mode automatique.
Genre…
#11
Ça a été expliqué dans les précédentes news sur le sujet : effacement complet des données personnelles en cas d’épuisement des tentatives (si l’option est activée).
#12
Au top toi " />
Bon, du coup je vais lire ce que tu pointes…
#13
#14
#15
#16
#17
#18
#19
#20
#21
on a jamais dit que c’était mieux chez google hein ^^
#22
#23
#24
#25
Et si on inversait les rôles ? Que le FBI adresse cette requête aux journalistes ? Ils ne crieraient pas à la protection des sources ?
#26
les sociétés de journalisme ne sont pas des sociétés publiques financée par les sous des contribuables. Ils veulent juste savoir qui sont ces fameux “clients” à qui on paye plusieurs millions.
#27
Donc les autorités d’un pays financent des hackers et affaiblissent les infrastructures que des millions de gens utilisent tout les jours…
Faites ce que je dis pas ce que je fais !
#28
Ça reste les informations autour d’une faille
#29
#30
Tu parles de ce papier ?
J’ai lu le PDF, et cette méthode avait déjà été envisagée comme possible (avec d’autres variantes sur le même principe).
Il est fort possible que la méthode utilisée par le FBI soit proche de celle-ci.
En résumé :
Et on recommence en 2 jusqu’à ce que l’on tombe sur la bonne passphrase. On essaie d’abord les passphrases correspondant à un code pin, donc uniquement des chiffres, sinon ça risque d’être long d’autant plus qu’il y a des temps d’attente de plus en plus long à chacune des 6 tentatives.
C’est donc bien du bruteforce mais sur le matériel avec la puce du l’iPhone qui contient la clé que l’on veut “activer” par la passphrase.
Cela marche parce l’on remet à 0 le compteur de tentatives en restaurant la flash, mais c’est assez long (moins d’un jour pour une passphrase de 4 chiffres (10000 tentatives)) : il y a les tempos entre les essais plus la restauration de la flash et le reboot à faire toutes les 6 tentatives.
Le bruteforce qui était suggéré par certains et qui lui n’est pas possible dans un temps raisonnable, c’est le bruteforce purement logiciel sans le hardware (la passphrase protégeant le hardware). Il faudrait bruteforcer directement la clé et là, on change d’ordre de grandeur.
Pour ce protéger contre cela (dans de futures générations d’iPhones), il faut que le compteur ne puisse pas être remis à 0 tout en restant mémorisé si on n’alimente plus l’iPhone. Il faut donc l’intégrer dans le SOC, dans la partie sécurité qui contient la clé. Il faut donc y intégrer une petite eeprom ou flash dimensionnée malgré tout largement pour subir un nombre très important d’écritures.
#31
#32
#33
#34
Non. La passphrase n’est “connue” (son hash en fait) que dans un composant hardware de sécurité unique que l’on ne peut pas cloner. on ne peut donc pas paralléliser la bruteforce.
#35
Oui c’est bien de ce papier dont je parle (merci pour le résumé, je l’avais lu vraiment en diagonale).
On ne sait pas pourquoi le FBI pensait que cette méthode n’était pas réalisable par contre.
#36
#37
Je ne suis pas sûr que le FBI se soit prononcé sur ce type de méthode. Je n’en ai pas le souvenir.
Le FBI voulait l’aide d’Apple pour faire un logiciel qui aurait permis de bruteforcer la passphrase sans limitation d’essai ni tempo d’attente. Un peu ce qui est fait ici mais en plus rapide.
Puis ils ont arrêté de demander cela quand ils ont eu la piste à 1,3 million de $.
Edit : je rajouterai que le FBI a surtout essayé de faire une jurisprudence en obligeant APPLE à les aider. Ils ont donc peut-être fait semblant de ne pas connaître des solutions possibles afin qu’un juge les suive.
#38
Tu sais, sur un malentendu ca peux passer. A force d’essayer, ca arrivera bien par arriver.
#39
Trop tard pour éditer. J’ajoute :
cet article de blog du 22 mars va dans mon sens sur l’importance du précédent juridique pour le FBI. En plus, il décrit la même méthode que celle du chercheur. Il avait décrit dans un premier papier décrivant la méthode le 6 mars (avant que le FBI ait contourné la protection).
#40
#41
#42
#43
#44
Dans cette logique (moins on en dit, mieux la faille est sauvegardée) pourquoi divulguer le fait qu’ils sont passé par une faille et qu’ils l’ont acheté?
#45
#46
Pour protéger Apple je diras.
Dans un contexte d’un attentat terroriste, ils étaient obligés d’avoir des résultats. Donc ils ont demandés à Apple une backdoor en sachant que cela entacherais la réputation d’Apple. Apple a refusé et le FBI a trouvé une faille à acheter pour se passer de l’aide d’Apple. Du coup ils devaient annoncer qu’ils avait réussi et qu’ils progressaient dans leur enquête, mais ils n’avaient aucun intérêt à laisser croire qu’Apple avait finalement collaboré. Je pense que sans la couverture médiatique sur la demande de backdoor à Apple, tu n’aurais jamais su qu’ils avaient acheté une faille.
#47
#48
Quand les journalistes français cesseront-ils d’utiliser sans arrêt le terme français “déposer plainte” qui a une signification pénale en français pour toute procédure judiciaire en particulier aux USA (mais aussi souvent en France) ? !
Le terme de “complaint” en langage juridique américain n’est pas une “plainte” en langage juridique français. C’est l’exposé des griefs qui est en fait l’assignation française, avec son “exposé des faits” et sa “discussion” !
Et le “plaintiff”, dans ce cas, est le “demandeur”.
La procédure ici n’est nullement pénale.
“In legal terminology, a complaint is any formal legal document that sets out the facts and legal reasons (see: cause of action) that the filing party or parties (the plaintiff(s)) believes are sufficient to support a claim against the party or parties against whom the claim is brought (the defendant(s)) that entitles .”
https://en.wikipedia.org/wiki/Complaint
Ce n’est pas la première fois qu’on l’explique.
#49
Il y a quand même une grosse différence “d’étalage” entre les infos privées “anonymisée” comme les commentaires d’un forum sous pseudo et les infos privées “nominatives” comme c’est le cas avec FB, linkedIn, etc..
#50
Je pense qu’ils ne pouvaient pas nier l’évidence. Aucune spécification technique n’indique comment percer le chiffrement. Il s’agissait obligatoirement d’une vulnérabilité. Dans le cas de Comey, il s’agissait aussi probablement d’une boulette, particulièrement l’évocation du prix. En théorie oui, il aurait mieux valu qu’il se taise.
#51
révéler ces informations mettrait en danger son pouvoir d’investigation
C’est avec ce genre de raisonnement que l’on peut justifier un programme comme Prism, non?
#52
#53
#54
#55
14 morts ce n’est pas suffisant pour justifier l’achat d’une faille pour l’iphone du salopard ???
Et ces media se posent en juge pour estimer si l’argent dépensé le vaux vraiment ???
#56
Et personne ne se rappelle l’attitude trouble d’APPLE dans cette affaire :
http://www.nextinpact.com/news/88835-ios-donnees-utilisateurs-circulent-a-traver…
#57
En quoi 14 morts les justifient-il ? Qu’est-ce que cela changera pour eux ? C’est pénible de prendre toujours en otage des morts pour justifier tout et n’importe quoi !
Et pui, pourquoi serait-il interdit de ce demander pourquoi le FBI a dépensé 1,3 millions de \( alors que https://www.aclu.org/blog/free-future/fbis-new-method-unlocking-san-bernardino-iphone">50k\) maximum suffisaient pour arriver au résultat ?
N’oublie pas que l’argent dépensé par le FBI est pris par des impôts à des gars comme toi qui ont du mal à le gagner.
Bises à unefille.
#58
Il faudrait plus de morts, donc ??? Merci pour les 14 de ce massacre. J’allais dire “ils n’ont qu’à crever”. Mais avec vous, ils peuvent crever deux fois, voire plus. C’est justifier “tout et n’importe quoi”, aller fouiller dans l’iPhone d’un tueur de masse ??? Auriez-vous des choses vraiment pas nettes dans votre iPhone ???
Comment pouvez-vous être certain que la solution à 50 000 $ est suffisante, et que le prix n’englobe pas d’autres possibilités de craquer le chiffrement d’un iPhone, d’autres possibilités d’espionnage ??? Vous avez accès au dossier du FBI sur le sujet ???
Désolé, mais n’étant pas citoyen américain, je ne finance pas le FBI.
Seriez-vous en train de vous radicaliser dans votre opinion sur la liberté individuelle ???
Avec de telles réactions, n’importe quel salopard aura toujours le dernier mot.
Toujours aucune réaction sur ce sujet :http://www.nextinpact.com/news/88835-ios-donnees-utilisateurs-circulent-a-traver… ???
#59
Ils sont morts ces 14 personnes et lire le contenu de l’iPhone n’y changera rien.
Inutile de les utiliser en faisant du sentimentalisme, c’est leur faire injure que de les instrumentaliser pour justifier l’accès à cet iPhone. C’est juste ce que je voulais dire sur ce point.
Comme beaucoup le disaient avant que l’iPhone soit craqué, rien de très utile a été trouvé dedans. Comme les coupables avaient détruit un autre téléphone et pas celui-là, il était normal de ne rien espérer y trouver. Le FBI pour se justifier dit que de ne rien avoir trouvé est une information utile !
La solution évaluée à 50 000 $ a été réalisée il y a peu par un chercheur (pour beaucoup moins cher) mais en étant très bidouille. Donc, ce chiffrage est très réaliste pour quelque chose de plus industriel. J’ai posté le lien vers le PDF rendant compte du travail de ce chercheur dans un de mes commentaires sur cet article et j’ai expliqué ce qu’il a fait. Mes connaissances professionnelles me permettent de dire qu’il s’agit bien de la même solution.
Ce qu’a acheté le FBI fait peut-être d’autre chose, mais c’est peu probable puisque le FBI a dit qu’il ne permettait d’attaquer que cette version d’iPhone.
C’est justement le sujet de cet article : les journaux américains souhaitent savoir si la dépense du FBI est justifiée ou non. Ils veulent donc avoir accès à une partie du dossier pour en rendre compte à leurs lecteurs qui sont des contribuables américains.
Sinon, je n’ai pas d’iPhone donc rien à cacher dedans. Mais ce n’est pas parce que je n’ai rien à cacher que j’accepte qu’un gouvernement quel qu’il soit m’espionne et mette des caméras et des micros chez moi. Je tiens à préserver ma vie privée. Même toi, je pense que tu as un verrou sur la porte de tes toilettes et pourtant, tu vas me dire que tu n’as rien à cacher.
Par contre, je soutiens Apple sur leur volonté de faire des appareils sûrs et dans leur refus de participer à la dégradation d’image de leur produits qui aurait découlé de leur collaboration avec le FBI.
Je les soutiens non pas en tant qu’Apple, mais en temps que société qui a été la première à s’opposer avec succès au FBI. Une jurisprudence contraire à Apple aurait été terrible pour l’ensemble des sociétés qui fournissent des solutions de sécurité informatique, en particulier grâce au chiffrement.
Les salopards sont ceux qui croient que l’on peut affaiblir la sécurité des données de tout le monde parce que l’on aimerait lire les secrets de quelques malfaiteurs.
Le dernier lien n’a rien à voir avec le sujet.
#60