Plus tôt ce mois, la société israélienne de piratage téléphonique Cellebrite a déclaré dans un billet de blog qu'elle peut désormais s'introduire dans Signal, une application gratuite pour Android et iOS, qui permet de communiquer de façon chiffrée et sécurisée et qui est censée mettre les utilisateurs à l'abri des fouilles extérieures. Une version plus longue d’un billet de blog technique publié un peu plus tôt avec le titre "La nouvelle solution de Cellebrite pour déchiffrer l'application Signal" avait vite été remplacée par une version plus courte qui a supprimé les détails techniques.Cellebrite a étonné le secteur de la sécurité en affirmant qu'il a réussi à "craquer" le chiffrement de l'une des applications de messagerie les plus sûres du marché grâce à une mise à jour de l’un de ses produits. « "Cellebrite Physical Analyzer" permet maintenant un accès légal aux données de l'application Signal », a-t-il écrit. « Chez Cellebrite, nous travaillons sans relâche pour permettre aux enquêteurs des secteurs public et privé de trouver de nouvelles façons d'accélérer la justice, de protéger les communautés et de sauver des vies ».
Dans le premier billet de blog supprimé (qui a été conservé dans les archives d'Internet), la société affirmait que son produit Universal Forensic Extraction Device (UFED) pouvait accéder, extraire et analyser les données des téléphones portables en utilisant l'application. Il affirmait pouvoir déchiffrer les messages de l'application de chat et d'appel vocal hautement sécurisée de Signal, se vantant de pouvoir perturber les communications des « membres de gangs, des trafiquants de drogue et même des manifestants ».
Toutefois, Signal est utilisé par beaucoup d'autres personnes préoccupées par le respect de la vie privée (journalistes, etc.), et pas seulement par des criminels.
Le billet original du blog de Cellebrite fournissait une explication technique sur la façon dont ses chercheurs ont trouvé une clé de déchiffrement qui leur ont permis d'accéder aux messages que Signal stocke dans sa base de données. Il décrit ensuite comment il a recherché dans le code open source de Signal des indices sur la manière de pirater la base de données.
L’un des derniers rapports sur la mise à jour de Cellebrite est un article de BBC publié le mardi dernier. « Nous avons finalement trouvé ce que nous cherchions », c’est l’un des passages de l’article de blog supprimé que BBC a cité. Le passage était accompagné d’une explication complète de la manière dont la société a procédé. C’est d’ailleurs suite à l’article de BBC que Moxie Marlinspike, créateur de Signal, a réagi mercredi, après une première réponse sur Twitter le 11 décembre.
Si vous avez votre téléphone physiquement dans vos mains, vous ne devrez pas être préoccupé par Cellebrite, d’après Marlinspike
Il reste à voir si Cellebrite a vraiment réussi à accéder à la clé de déchiffrement de Signal, car celle-ci est généralement bien protégée. Il semble plutôt que l'exploit prétend avoir fonctionné via un téléphone Android déverrouillé, mais Cellebrite a considérablement modifié son blog original sur la question, ce qui a conduit à des points d'interrogation sur la fiabilité de sa déclaration initiale.
La prétention de Cellebrite a été rapidement rejetée par le créateur de l’application de messagerie, Moxie Marlinspike, sur Twitter. « Il s'agissait d'un article sur les "techniques avancées" utilisées par Cellebrite pour décoder un message Signal sur un appareil Android non verrouillé », a-t-il tweeté en réponse à une personne lui signalant la revendication de Cellebrite. « Ils auraient pu aussi simplement ouvrir l'application pour regarder les messages ». « L'article entier se lisait comme un travail d’amateur, ce qui est, je suppose, la raison pour laquelle ils l'ont supprimé », a ajouté Marlinspike.
Dans son article de Blog, Marlinspike a qualifié la "découverte" de Cellebrite comme une situation où quelqu'un tient un téléphone déjà déverrouillé dans ses mains et pourrait simplement ouvrir l'application pour regarder les messages qu'il contient. « Leur article portait sur le fait de faire la même chose par programmation (ce qui est tout aussi simple), mais ils ont écrit un article entier sur les "défis" qu'ils ont relevés, et ont conclu que « ... cela a nécessité des recherches approfondies sur de nombreux fronts différents pour créer de nouvelles capacités à partir de zéro ».
« Cela nous a fait nous gratter la tête. Si cela a nécessité des "recherches", cela n'inspire pas beaucoup d'admiration pour leurs capacités existantes », a écrit le développeur de Signal.
« Il est difficile de savoir comment un poste comme celui-ci a été créé ou pourquoi quelqu'un a pensé que révéler des capacités aussi limitées était dans son intérêt. En se basant sur l’article initial, Cellebrite a dû se rendre compte que le travail d’amateur n'était pas bon et le poste a été rapidement démantelé. Ils ont ensuite dû se rendre compte qu'une erreur 404 n'est pas mieux, et l'ont à nouveau remplacée par un vague résumé », a-t-il ajouté.
En trois points, Marlinspike a décrit dans son article ce qui s'est réellement passé avec Cellebrite :
Si vous avez votre appareil, Cellebrite n’est pas une préoccupation pour vous. Il est important de comprendre que toute l’histoire sur Cellebrite Physical Analyzer commence par une personne autre que vous qui tient physiquement votre appareil, avec l'écran déverrouillé, dans ses mains. Cellebrite n'essaie même pas d'intercepter les messages, la voix/vidéo, ou la communication en direct, et encore moins de "casser le chiffrement" de cette communication. Ils ne font pas de surveillance en direct d'aucune sorte.
Cellebrite n'est pas magique. Imaginez que quelqu'un tienne physiquement votre appareil, avec l'écran déverrouillé, dans ses mains. S'ils voulaient créer un enregistrement de ce qui se trouve sur votre appareil à ce moment-là, ils pourraient simplement ouvrir chaque application de votre appareil et prendre des captures d'écran de ce qui s'y trouve. C'est ce que fait Cellebrite Physical Analyzer. Il automatise le processus de création de ce dossier. Cependant, comme il est automatisé, il doit savoir comment chaque application est structurée, donc il est en fait moins fiable que si quelqu'un ouvrait simplement les applications et prenait manuellement les captures d'écran. Ce n'est pas de la magie, c'est un logiciel d'entreprise médiocre.
Cellebrite n'a pas "accidentellement" révélé ses secrets. Cet article et d'autres ont été écrits sur la base d'une mauvaise interprétation d'un billet de blog de Cellebrite sur l'ajout de la prise en charge de Signal dans Physical Analyzer. Cellebrite a posté quelque chose avec beaucoup de détails, puis l'a rapidement retiré et remplacé par quelque chose qui n'a pas de détails. Ce n'est pas parce qu'ils ont "révélé" quelque chose sur une technique super avancée qu'ils ont développée (rappelez-vous, c'est une situation où quelqu'un pourrait simplement ouvrir l'application et regarder les messages). Ils l'ont enlevé pour la raison inverse : cela leur donnait une mauvaise image. Les articles sur ce post auraient été mieux intitulés "Cellebrite révèle accidentellement que leurs capacités techniques sont aussi ruinées que leur fonction dans le monde".
Certains pourraient se demander pourquoi Cellebrite a d’abord décidé de divulguer publiquement la question en premier, alors qu'il aurait dû suivre l'option responsable et alerter discrètement Signal qu’il y avait une certaine possibilité d’accéder aux données dans l’application. Pour rappel, Cellebrite est la société qui aurait proposé son aide au FBI en 2016 afin d’accéder à l'iPhone verrouillé appartenant au terroriste de San Bernardino, après qu’Apple ait refusé de se plier aux injonctions du tribunal.
Sources : Signal, Tweet
Et vous ?
Qu’en pensez-vous ? La prise en charge de Signal dans Physical Analyzer de Cellebrite portait sur une situation où quelqu'un d’autre que le propriétaire tient un téléphone déjà déverrouillé dans ses mains, d’après le créateur de l’application. Quel commentaire en faites-vous ? Est-il nécessaire, toutefois, que Signal apporte une correction dans l’application ou pas du tout ?Voir aussi :
Une entreprise israélienne d'espionnage numérique affirme pouvoir accéder aux données de l'application Signal, considérée comme l'application mobile la plus chiffrée Une entreprise israélienne annonce sa capacité à déverrouiller tous les dispositifs Apple, qui tournent sous iOS 5 à 11 Cellebrite a annoncé publiquement qu'il peut maintenant débloquer n'importe quel iPhone pour les autorités, grâce à son nouvel outil UFED L'entreprise israélienne Cellebrite serait la « partie tierce » évoquée par le FBI, pour déverrouiller l'iPhone de l'auteur de l'attentat de S.B