Le FBI a manifestement payé cher, très cher, la faille 0-day qui a été utilisée sur l’iPhone 5c de San Bernardino pour extraire ses données. Le directeur de l’agence, James Comey, a donné l’information sous forme indirecte, relançant une fois de plus la question d’un véritable trafic de ces brèches.
On sait depuis fin mars que le FBI a utilisé au moins une faille de sécurité pour pénétrer les défenses d’un iPhone 5c sous iOS 9. Le smartphone appartenait à Syed Farook, responsable avec sa femme de la fusillade de San Bernardino le 2 décembre dernier. Cette tuerie avait été revendiquée deux jours plus tard par Daech, donnant à l’enquête un caractère anti-terroriste.
Du procès médiatisé à la faille de sécurité
L’iPhone avait résisté aux tentatives des enquêteurs. Depuis iOS 8, le code PIN de verrouillage du système est devenu un élément dans la composition de la clé utilisée pour chiffrer les données. Le FBI souhaitait qu’Apple déverrouille le smartphone pour y récupérer les informations, ce à quoi la firme avait objecté que sans ce précieux code, elle ne pouvait rien faire. Le ton avait monté, jusqu’à l’annonce par le FBI que la fameuse aide n’était plus nécessaire.
Toute la procédure à l’encontre d’Apple était retombée comme un soufflé. Apple n’avait pas changé sa ligne de défense d’un iota et semblait d’ailleurs partie pour remporter la bataille juridique. Mais le FBI a quand même obtenu ce qu’il désirait : les données. L’ironie de la situation était palpable, puisque c’est bien Apple qui a couru ensuite après l’agence pour qu’elle lui révèle sa méthode. Et pour cause : il ne pouvait s’agir que d’une ou plusieurs failles de sécurité dont le constructeur n’était pas au courant, autrement dit des failles 0-day.
Apple aimerait évidemment des informations sur cette brèche, mais elle n’a aucun recours pour les obtenir. Chaque vulnérabilité repérée par une agence gouvernementale est passée au crible d’un processus d’évaluation. Soit la faille est jugée « inutile » - et dans ce cas ses détails sont transmis à l’éditeur concerné – soit elle peut être utilisée dans une opération ou une enquête. Dans ce cas, les informations sont gardées pour une durée indéterminée. Si Apple ne trouve pas la faille par d’autres moyens, elle restera ouverte, donc découvrable par des pirates.
Qui, et combien ?
Autour de la brèche, deux questions gravitent en particulier : qui a fourni la méthode, et pour quel prix ? L’identité précise n’est pas connue, mais le Washington Post avait indiqué qu’un groupe de hackers (et non pirates) s’était présenté au FBI en affirmant posséder la méthode qui faisait défaut aux enquêteurs. Après une période de test, elle s’était révélée concluante, aboutissant au résultat que l’on connait.
La question du prix était tout aussi importante. On pouvait se douter que la faille n’allait pas être bon marché, pour plusieurs raisons. D’abord parce que le Washington Post indiquait qu’au moins un membre du groupe était un « grey hacker », collectant des failles de sécurité pour les offrir au plus offrant. Ensuite parce qu’il suffisait de se rappeler que la société Zerodium était allée jusqu’à offrir un million de dollars pour une faille capable de fonctionner sur iOS 9, avec tous les détails d’exploitation. Quelques jours après seulement, elle avait fermé le concours, précisant qu’il avait été remporté mais que les détails ne seraient pas fournis à Apple.
Nécessairement plus de 1,34 million de dollars
Or, le directeur du FBI, James Comey, était hier à Londres pour la conférence Aspen Security Forum. Plusieurs questions lui ont été posées et les réponses, rapportées par Reuters, contiennent des renseignements précieux. Interrogé notamment sur la somme dépensée par le FBI pour la faille, il a indiqué simplement « beaucoup » dans un premier temps. Invité à préciser, il n’a pas donné le montant exact, mais a ajouté : « Plus que ce que je vais avoir durant le temps restant à mon poste, c’est-à-dire sept ans et quatre mois ».
À partir de là, le montant minimal de la faille n’est plus vraiment très complexe à calculer. Reuters a ainsi trouvé le salaire de Comey, qui était au 1er janvier 2015 de 183 000 dollars par an. Une fois la somme dument multipliée par le temps restant sur son poste de directeur, le montant devient 1,34 million de dollars. Il ne s’agit pas du montant exact, le directeur ayant bien précisé que le FBI avait dépensé « plus ».
Soutenir le chiffrement et payer pour le percer
L’information peut provoquer la surprise, surtout que les informations finalement obtenues étaient a priori sans grande valeur, mais Comey a ajouté que payer avait « valu le coup » : « Parce que c’est un outil qui nous aide pour un iPhone 5c sous iOS 9, ce qui était un peu un cas extrême. Je pense qu’il est très, très important que nous puissions entrer dans l’appareil ». Le tout en réaffirmant qu’il était lui-même « un grand soutien du chiffrement fort ».
Dans un contexte où personne ne sait encore si le chiffrement peut l’emporter face à la sécurité et aux propositions de lois, il est intéressant de constater que le directeur du FBI n’hésite pas à afficher une position ambivalente. Car il est délicat de promouvoir un chiffrement fort tout en réclamant d’Apple qu’elle perce ses propres protections. Peut-être est-ce là d’ailleurs le futur tel qu’envisagé par le FBI : laisser faire le chiffrement, mais investir dans des failles capables de le contourner.
Commentaires (60)
#1
Ils sont bien payés les fonctionnaires là-bas
" />
#2
“payé cher, très cher” …. Franchement, vu les montants dans le domaine de la sécurité informatique, c’est pas hyper cher …
#3
Question bete si on force avec des mdp erroné le téléphone supprime tout et se réinitialise? Ou il est bon a jeter?
#4
Non, il y a une erreur dans l’article… 183’00$ par an (source). Ce qui rapporté au coût de la vie à New York (et l’absence de services publics gratuits aux USA) n’est pas énorme.
#5
#6
#7
C’est écrit « par mois » dans l’article. Mais du coup ça ferait beaucoup plus de1,3 million pour les 7 ans lui restant à tirer
" />.
#8
Le FBI est irresponsable si il ne veut pas communiquer cette faille à Apple.
ça veut dire que potentiellement tous les possesseurs d’iphone risquent d’être victimes de personnes mal intentionnées au courant de cette faille.
il n’y a pas de police des polices aux usa ?
#9
Erreur dans mon commentaire précédent : son salaire c’est 183’000 par an.
#10
#11
Tout ça pour récupérer des photos de nichons et de b!£€$…
#12
Et des selfies duckface :)
#13
le Washington Post avait indiqué qu’un groupe de hackers (et non pirates)
Reste plus que le Grey hat qui revend quand l’éditeur ne veut rien changer, le Black hat vend au plus offrant.
Mais, bref, merci.
#14
Je savais pas que les musulmans été cannibale.
" />
" />
" />
" />
Une jolie poitrine s’apprécie avec les yeux, pas quand c’est griller.
#15
A en croire l’article, ce n’est pas le FBI qui est irresponsable “Apple aimerait évidemment des informations sur cette brèche, mais elle n’a aucun recours pour les obtenir. Chaque vulnérabilité repérée par une agence gouvernementale est passée au crible d’un processus d’évaluation.”
" />
" />
Après, tout ceci ressemble à un petit jeu de cour de récréation “Tu m’as embêté, maintenant c’est à mon tour nanananèreuhhhh”. Apple affirmait que le FBI abusait de certaines choses vis-à-vis de ces demandes, Apple doit maintenant attendre que les choses se fassent dans les règles de l’art ou trouver seule la faille ou payer…
#16
Une bonne poitrine de porc grillée au barbecue ça s’apprécie aussi 
" />
#17
Possible, mais je ne fantasme pas sur les nichons des animaux personnellement (ou alors les femmes chats d’un Hentai à la limite
" />)
" />
#18
On peut pas te reprocher d’avoir bon goût
" />
#19
#20
En fait le sous titre c’est pour les commentaires
#21
#22
le directeur du FBI n’hésite pas à afficher une position ambivalente. Car il est délicat de promouvoir un chiffrement fort tout en réclamant d’Apple qu’elle perce ses propres protections.
Ce n’est pas du tout ambivalent.
Son opinion (partagée par les gouvernements) est au contraire très limpide:
“Les détenteurs de l’autorités doivent avoir des privilèges que les simples citoyens n’auront pas.”
L’ordre des choses aux états-unis est pourtant très clair:
#23
#24
#25
Depuis le temps il est exilé fiscal en Suisse surement
" />
#26
#27
Oh que ce film m’a déçu :‘(
#28
#29
#30
Avec un raisonnement pareil, j’espère que tu ne te feras jamais voler ta caisse ou cambrioler ta maison parce qu’une personne aura préféré vendre la faille du système de sécurité au plus offrant plutôt que d’informer le fabricant afin qu’il fasse les corrections nécessaires… surtout quand l’assurance et la police viendront te dire, désolé, pas de traces d’effraction, on ne peut rien pour vous…
#31
#32
Toi tu es vraiment dangereux pour la société.
#33
#34
#35
#36
?
#37
Un hacker (en réalité un “pirate” car les vrais hackers font ça pour s’amuser) payé 1M$, c’est comme ça qu’ils étaient déjà passé de simples geeks à directeurs d’entreprises avec des dizaines de salariés et qu’il y a tant de piratage maintenant.
#38
les “Pirates” (Hackers noirs) cherchent tous “à se faire remarquer”*
pour se faire embaucher par, les mêmes, entreprises qu’il ont piratées !
il est loin le temps des “Hackers blancs” (des gentils) qui étaient
désintéressés (pour le Fun) et qui montraient, par là, qu’il Y avait
une faille (0day) dans leurs systèmes de sécurité, maintenant
TOUT se monnaye !
* moi…… j’ai réussi à entrer dans le système HYPER-sécurisé du FBI (CIA, etc….)
(nostalgie) “ le Clown vous salue” ou “bons baisers de Russie de la part de 007”
#39
Rien que ça… Vraiment abject.
#40
Si un IPhone ca coute 1.3 M$, un android Phone ou un Windows Phone ca vaut combien ?
#41
C’est du flan. Je ne crois pas une seconde qu’avec les moyens techniques et humains dont le gouvernement US dispose ils aient échoué à décrypter un pain de téléphone grand public. Et comme par hasard, au dernier moment, un petit génie sort de son garage et a l’idée géniale. On dirait une mauvaise série B, il manque juste une gonzesse pour que ce soit parfait.
C’est juste de la com pour préserver l’image d’apple. Une new invérifiable balancée sur internet ca coute pas cher et si ca peut aider une grosse boite du pays, faut pas se priver.
#42
Merci de nous avoir ouvert les yeux avec ces arguments vérifiés et des sources fiables.
Il était temps de mettre un terme à cette campagne de publicité pour Apple.
#43
#44
Oui, exactement cela ! Seul un publicitaire de génie pouvait monter un tel coup de com !
#45
Je ne vois pas pourquoi ils communiqueraient la faille a Apple vu la fin de non recevoir reçue lors de la demande de déblocage.
#46
#47
183 000 dollars, et aussi beaucoup de “perks” comme les assurances santé, assurance retraite, probablement des aides pour les études des enfants et j’en passe (plus de congés je suppose ?). Malgré un salaire plutôt “faible”, un emploi dans une administration fédérale est généralement recherchée.
cf :http://www.publicpurpose.com/apcxv.htm
#48
#49
le FBI gardera encore 1 an (grand max) CETTE faille, mais, ça finira, bien, par “transpirer” !
" />
ne serait-ce : par un agent qui a quitté le FBI…comme “dans l’affaire Ben Laden”
un ancien de FS a raconté comment ils l’avaient “neutralisé” !
#50
C’est pas de la pub, c’est un accord. On craque le truc avec ou sans l’aide du fabriquant, au final on fait comme si c’était quasi-impossible et tout le monde est content.
Sans déconner, tous les pays mettent des moyens colossaux dans l’espionnage économique et même l’espionnage tout court, les USA en tête. J’arrive pas à croire qu’ils soient incapables de lire un simple téléphone tombé de la poche d’un glandu. Et le mec tombé du ciel avec toute la panoplie du hacker de bande-dessinée qui trouve la solution d’un claquement de doigts, avec tout le monde qui fantasme sur les sommes annoncées mais personne qui se demande seulement si le mec existe vraiment. Non, franchement, ca vend trop du rêve.
#51
Encore merci d’avoir ajouté des sources jusqu’ici inconnues dans ton argumentation. C’est un plaisir de lire quelque chose d’aussi construit. Tu devrais postuler chez NXI, ils t’attendent à bras ouverts.
" />
#52
J’ai aucune source et j’ai rien à argumenter. C’est un simple raisonnement qui me semble à peu près logique. Je dis mon avis, c’est tout.
Je concède que ca ne pèse pas très lourd comparé aux To de news qui ont circulé sur internet. Reprenant toutes la même, la seule, l’unique info publiée par le Washington Post. Qui ne dit pas grand chose à part que le hacker c’est secret et la faille c’est secret aussi.
Je ne critique pas le WP, ils ont une histoire qui plaide pour eux. C’est juste pour dire que sur ce genre de news, c’est juste ridicule de se lancer dans une bataille de sources.
#53
#54
Bon, eh bien on dira que tous les spécialistes officiels s’y sont cassés les dents dessus. Et qu’un mec sorti de nulle part a trouvé la solution tout seul. Il a pris un paquet de fric et il disparaitra pour mener une vie de rêve dans un endroit tenu secret. L’histoire est belle et vu que de toutes façons on n’en saura jamais le fin mot, et que dans le fond on s’en fout un peu, vous m’avez convaincu et je choisis celle là.
#55
#56
Tu crois ce que tu veux, mais non, il n’y a rien de délirant dans cette hypothèse :
- du matériel grand-public peut utiliser les algos de chiffrements les plus robustes, puisqu’ils sont connus.
#57
#58
#59
Petit message a ceux qui m’ont taunté sur les news précédentes quand je disais que le FBI avait les moyens ;)