iPhone (dé)verrouillé : le FBI a payé la faille au moins 1,3 million de dollars

Chiffrement FTW 60
En bref
image dediée
Crédits : billyfoto/iStock
Sécurité
Vincent Hermann

Le FBI a manifestement payé cher, très cher, la faille 0-day qui a été utilisée sur l’iPhone 5c de San Bernardino pour extraire ses données. Le directeur de l’agence, James Comey, a donné l’information sous forme indirecte, relançant une fois de plus la question d’un véritable trafic de ces brèches.

On sait depuis fin mars que le FBI a utilisé au moins une faille de sécurité pour pénétrer les défenses d’un iPhone 5c sous iOS 9. Le smartphone appartenait à Syed Farook, responsable avec sa femme de la fusillade de San Bernardino le 2 décembre dernier. Cette tuerie avait été revendiquée deux jours plus tard par Daech, donnant à l’enquête un caractère anti-terroriste.

Du procès médiatisé à la faille de sécurité

L’iPhone avait résisté aux tentatives des enquêteurs. Depuis iOS 8, le code PIN de verrouillage du système est devenu un élément dans la composition de la clé utilisée pour chiffrer les données. Le FBI souhaitait qu’Apple déverrouille le smartphone pour y récupérer les informations, ce à quoi la firme avait objecté que sans ce précieux code, elle ne pouvait rien faire. Le ton avait monté, jusqu’à l’annonce par le FBI que la fameuse aide n’était plus nécessaire.

Toute la procédure à l’encontre d’Apple était retombée comme un soufflé. Apple n’avait pas changé sa ligne de défense d’un iota et semblait d’ailleurs partie pour remporter la bataille juridique. Mais le FBI a quand même obtenu ce qu’il désirait : les données. L’ironie de la situation était palpable, puisque c’est bien Apple qui a couru ensuite après l’agence pour qu’elle lui révèle sa méthode. Et pour cause : il ne pouvait s’agir que d’une ou plusieurs failles de sécurité dont le constructeur n’était pas au courant, autrement dit des failles 0-day.

Apple aimerait évidemment des informations sur cette brèche, mais elle n’a aucun recours pour les obtenir. Chaque vulnérabilité repérée par une agence gouvernementale est passée au crible d’un processus d’évaluation. Soit la faille est jugée « inutile » - et dans ce cas ses détails sont transmis à l’éditeur concerné – soit elle peut être utilisée dans une opération ou une enquête. Dans ce cas, les informations sont gardées pour une durée indéterminée. Si Apple ne trouve pas la faille par d’autres moyens, elle restera ouverte, donc découvrable par des pirates.

Qui, et combien ?

Autour de la brèche, deux questions gravitent en particulier : qui a fourni la méthode, et pour quel prix ? L’identité précise n’est pas connue, mais le Washington Post avait indiqué qu’un groupe de hackers (et non pirates) s’était présenté au FBI en affirmant posséder la méthode qui faisait défaut aux enquêteurs. Après une période de test, elle s’était révélée concluante, aboutissant au résultat que l’on connait.

La question du prix était tout aussi importante. On pouvait se douter que la faille n’allait pas être bon marché, pour plusieurs raisons. D’abord parce que le Washington Post indiquait qu’au moins un membre du groupe était un « grey hacker », collectant des failles de sécurité pour les offrir au plus offrant. Ensuite parce qu’il suffisait de se rappeler que la société Zerodium était allée jusqu’à offrir un million de dollars pour une faille capable de fonctionner sur iOS 9, avec tous les détails d’exploitation. Quelques jours après seulement, elle avait fermé le concours, précisant qu’il avait été remporté mais que les détails ne seraient pas fournis à Apple.

Nécessairement plus de 1,34 million de dollars

Or, le directeur du FBI, James Comey, était hier à Londres pour la conférence Aspen Security Forum. Plusieurs questions lui ont été posées et les réponses, rapportées par Reuters, contiennent des renseignements précieux. Interrogé notamment sur la somme dépensée par le FBI pour la faille, il a indiqué simplement « beaucoup » dans un premier temps. Invité à préciser, il n’a pas donné le montant exact, mais a ajouté : « Plus que ce que je vais avoir durant le temps restant à mon poste, c’est-à-dire sept ans et quatre mois ».

À partir de là, le montant minimal de la faille n’est plus vraiment très complexe à calculer. Reuters a ainsi trouvé le salaire de Comey, qui était au 1er janvier 2015 de 183 000 dollars par an. Une fois la somme dument multipliée par le temps restant sur son poste de directeur, le montant devient 1,34 million de dollars. Il ne s’agit pas du montant exact, le directeur ayant bien précisé que le FBI avait dépensé « plus ».

Soutenir le chiffrement et payer pour le percer

L’information peut provoquer la surprise, surtout que les informations finalement obtenues étaient a priori sans grande valeur, mais Comey a ajouté que payer avait « valu le coup » : « Parce que c’est un outil qui nous aide pour un iPhone 5c sous iOS 9, ce qui était un peu un cas extrême. Je pense qu’il est très, très important que nous puissions entrer dans l’appareil ». Le tout en réaffirmant qu’il était lui-même « un grand soutien du chiffrement fort ».

Dans un contexte où personne ne sait encore si le chiffrement peut l’emporter face à la sécurité et aux propositions de lois, il est intéressant de constater que le directeur du FBI n’hésite pas à afficher une position ambivalente. Car il est délicat de promouvoir un chiffrement fort tout en réclamant d’Apple qu’elle perce ses propres protections. Peut-être est-ce là d’ailleurs le futur tel qu’envisagé par le FBI : laisser faire le chiffrement, mais investir dans des failles capables de le contourner.


chargement
Chargement des commentaires...