Google peut déverrouiller à distance un terminal Android sans chiffrement intégral

Et ce n'est pas une surprise 32
En bref
image dediée
Crédits : Melpomenem/iStock/Thinkstock
Sécurité
Vincent Hermann

Google a la capacité de déverrouiller à distance des smartphones Android tant que le chiffrement intégral n’a pas été activé. Bien que ce dernier soit disponible à partir d’Android 5.0, peu de smartphones l’utilisent réellement. Comme l’indiquent des documents issus du bureau du procureur de New York, l’entreprise est donc en mesure d’obéir à un ordre du tribunal.

Alors que les débats sur le chiffrement sont très intenses, un document du bureau du procureur de New York permet d’en apprendre plus sur les mesures qui peuvent être prises quand les circonstances l’exigent. Repéré par The New Web, il montre que Google peut tout à fait déverrouiller à distance un smartphone Android tant que le chiffrement intégral n’est pas activé. Un constat qui rappelle immédiatement l’opposition d’Apple sur ce même terrain, quand bien même la société de Cupertino n’aurait au final pas vraiment le choix.

Les trois quarts des appareils Android ont une version antérieure à la 5.0

Le chiffrement intégral d’Android ne se retrouve qu’à partir de la version 5.0 du système mobile. Comme indiqué l’année dernière, cette mouture devait initialement marquer un tournant : tout nouvel appareil bâti sur Android 5.0 aurait normalement dû avoir ce chiffrement actif par défaut. Une politique qui avait été modifiée en cours de route, sans que Google explique pourquoi. Des tests menés par certains confrères montraient cependant qu’en fonction des modèles, l’impact sur les performances pouvait être important.

De fait, le déverrouillage distant peut déjà fonctionner sur tous les terminaux ayant une version antérieure à la 5.0, soit 74,1 % du parc actuel. Si l’on y ajoute tous les appareils qui ont la bonne version, mais sans chiffrement activé (une manipulation à réaliser soi-même, sauf sur les derniers Nexus), la proportion grimpe sans doute nettement plus haut, mais sans que l’on sache jusqu'où exactement.

« Ce processus peut être réalisé par Google à distance »

Le document est important, mais pas nécessairement surprenant. On sait que les forces de l’ordre rencontrent des difficultés à mener certaines enquêtes à cause du chiffrement, un point abordé d’ailleurs par Bernard Cazeneuve en France qui veut doter la police et la gendarmerie de moyens supplémentaires. Il existe un curseur difficile à positionner entre respect de la vie privée et sécurité. Le problème actuel est qu’un mandat délivré par un juge peut fonctionner pour une perquisition à domicile par exemple, mais n’est pas forcément efficace pour récupérer des données dans un appareil mobile. D’où les très nombreux débats autour du chiffrement et le point exposé récemment par le FBI.

Le document du bureau du procureur est en tout cas très clair : « La police scientifique est capable de contourner les mots de passe sur certains des appareils en utilisant plusieurs techniques. Pour d’autres types d’appareils Android, Google peut réinitialiser les mots de passe lorsqu’on lui présente un mandat de recherche et un ordre lui intimant d’aider les forces de l’ordre à extraire les données. Ce processus peut être réalisé par Google à distance et permet à la police scientifique d’examiner le contenu d’un appareil ».

« Apple et Google ne sont pas responsables de la sécurité publique »

Par ailleurs, le document propose quelques phrases particulièrement éclairantes sur l’avis de la justice sur cette thématique : « La décision d’Apple et Google d’activer le chiffrement intégral par défaut sur les smartphones signifie que les représentants des forces de l’ordre ne peuvent plus accéder aux preuves criminelles stockées dans les smartphones, même quand ils disposent d’un mandat de recherche délivré par un juge neutre. Apple et Google ne sont pas responsables de la sécurité publique. C’est le travail des forces de l’ordre ».

Le document fait le point sur la sécurité actuelle et propose d’établir une solution de compromis : qu’Apple et Google puissent, via un mandat, toujours récupérer les données enregistrées localement dans un smartphone. Même si le bureau du procureur de New York indique qu’il ne souhaite « pas de porte dérobée pour le gouvernement », une telle volonté ne peut s’appliquer que de deux manières : soit les constructeurs disposent des clés (ce qui n’est pas le cas actuellement), soit il faut un moyen de contournement des protections, donc une porte dérobée. Dans le document, il est demandé aux constructeurs de travailler ensemble à une solution pour que les forces de l’ordre fassent leur travail.

La situation est donc complexe, puisque dans le sillage des révélations d’Edward Snowden, la sécurité et le respect de la vie privée sont devenus de vrais arguments marketing, ne serait-ce que pour compenser la crise de sécurité qui a suivi.


chargement
Chargement des commentaires...