L'entreprise israélienne Cellebrite serait la « partie tierce » évoquée par le FBI
Pour déverrouiller l'iPhone de l'auteur de l'attentat de S.B

Le , par Stéphane le calme, Chroniqueur Actualités
Un peu plus tôt cette semaine, le FBI a fait savoir qu’il pourrait ne pas avoir besoin de l’aide d’Apple pour déverrouiller le téléphone en sa possession pour les besoins de son enquête sur l’attentat de San Bernardino qui a eu lieu en décembre dernier. Dans une requête d’annulation rédigée par le département de la justice, ce dernier a indiqué que « le dimanche 20 mars 2016, une partie tierce a montré au FBI une méthode possible pour déverrouiller l’iPhone qui a été utilisé par Syed Farook lequel, avec sa femme, Tashfeen Malik, ont tué 14 personnes dans la ville sud-californienne en décembre dernier ».

Si l’identité de cette entité tierce n’a pas été précisée, le quotidien israélien Yedioth Ahronoth confie qu’il s’agit de Cellebrite, une start-up du même pays. Avec sa technologie UFED (Universal forensic extraction device) dont la spécialité est l’extraction des données cachées dans un dispositif mobile (téléphone, tablette, GPS) aussi bien dans le cadre d’enquête policière que dans d’autres services d’investigation, l’entreprise estime être en mesure de contourner le système de protection d’Apple et de « faire parler » le dispositif.

Cellebrite dispose d’une expérience au niveau international et affirme collaborer avec 15 000 forces de sécurité de par le monde. L’entreprise a par exemple été sollicitée par le gouvernement croate en 2012 dans une affaire de pédophilie. La société affiche plus de 35 000 dispositifs UFED déployés à travers le monde et un chiffre d’affaires dépassant la barre des 100 millions de dollars. Fort d’un effectif de 400 personnes, elle dispose de bureaux en Israël, aux États-Unis, au Brésil, en Allemagne, à Singapour et au Royaume-Uni. La startup, qui a été créée en 1999 à Petah Tikva, en banlieue de Tel-Aviv, par Yossi Carmil et Ron Serber, a été rachetée en 2007 par le japonais Sun. Sa nouvelle maison mère lui a tout de même laissé son autonomie opérationnelle.

Une tournure qui vient illustrer les propos de James Lewis, spécialiste en cybersécurité au Center for Strategic and International Studies : « dès que quelqu'un me dit qu'un appareil est inviolable, ça me rappelle le Titanic, qui était insubmersible », avait-il alors déclaré. « Si vous donnez à des spécialistes assez de ressources, ils pourront forcément entrer. C'est une course sans fin entre les ingénieurs qui créent les logiciels de chiffrement et ceux qui essaient de les pirater ».

Trois applications de Cellebrite sont disponibles dans l'App Store : UFED Phone Detective, une base de données sur l'analyse forensique, Self-Care Diagnostics, pour diagnostiquer des problèmes et Transfer App, pour transférer des données d'un smartphone à un autre.

Source : Yedioth Ahronoth, FAQ UFED (au format PDF)


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Traroth2 Traroth2 - Membre chevronné https://www.developpez.com
le 24/03/2016 à 15:09
De nos jours, la police encourage le piratage et les pirates créent des start-ups. Le signe d'une époque...

Et les cambrioleurs, c'est pour quand ?
Avatar de transgohan transgohan - Expert éminent https://www.developpez.com
le 24/03/2016 à 15:57
Citation Envoyé par Traroth2 Voir le message
De nos jours, la police encourage le piratage et les pirates créent des start-ups. Le signe d'une époque...

Et les cambrioleurs, c'est pour quand ?
Ah mais justement, vous n'êtes pas à la page mon bon monsieur.
Je peux vous proposer les services de mon entreprise dans le cas où le joli trophée de golf de votre voisin vous fait baver.
Je vous laisse nos coordonnées, n'hésitez pas à prendre rendez-vous.

Ce-que-vous-voulez-chez-les-autres S.A.R.L
3 rue du moyen banditisme
75000 PARIS CEDEX 001
Tel : 01.02.03.04.05
Avatar de secuexpert secuexpert - Provisoirement toléré https://www.developpez.com
le 24/03/2016 à 17:21
Citation Envoyé par pepito62 Voir le message
Le FBI peut prêter le tel à Apple ou des employés Apple peuvent se rendre au FBI pour installer un os de l'iphone en question avec une version "non sécurisé" ou les vérifications Code Pin/identification etc ne sont plus faite. L'os fait comme si le "mot de passe" était correct... et on accède aux données.

Puis Apple remet le logiciel d'origine pour que personne ne puisse avoir cette version de l'os modifié.
Attention il y a une confusion ici.

Le contenu de chaque téléphone est protégé par un chiffrement solide. Ni Apple ni personne ne connait la clef secrète. Il n'y AUCUN moyen de contourner cette méconnaissance.

Il n'y donc pas de vérification de mot de passe à "contourner". Sans le mot de passe on ne peut pas accéder aux données!
Avatar de secuexpert secuexpert - Provisoirement toléré https://www.developpez.com
le 24/03/2016 à 18:57
Citation Envoyé par behe Voir le message
@Zirak, tu es sûr pour le "sauter la protection des IPhones, de tous les Iphones"? J'avais arrété de suivre l'affaire après ce post.
L'injection faite à Apple ne concerne qu'un seul appareil, bien sûr! Et c'est sur cela que s'appuient tous les démagogues pour raconter que Apple aide les terroristes.

Il faut bien comprendre la nature de l'injection : je vous ordonne de fabriquer un dispositif pour neutraliser le dispositif de sécurité que vous avez conçu.

Bien sûr cet appareil n'a absolument rien de spécial, c'est un exemplaire d'une série, exemplaire identifiable par son numéro de série. Le procédé sera applicable pour n'importe quel appareil de la même série! Et si Apple avait cédé sur ce cas précis, il est évident que dans toutes les affaires criminelles la même demande aurait été faite, puis peut être un jour dans toutes les affaires de divorce!

Il s'agit donc d'une injonction d'écrire du code informatique (en modifiant le code source de l'OS), qui est peut être contraire au 1er amendement qui protège la liberté d'expression, puisque le code est une expression (comme de la littérature) : aucune loi ne peut forcer quelqu'un à écrire et diffuser un message contraire à ses convictions et à sa morale. (Un juge ne s'appuyant sur aucun texte spécifique encore moins.)

La protection de la liberté d'expression est une blague en France (règle générale avec des tas d'exceptions), mais pas aux USA. Là bas c'est considéré comme fondamental.

Même sans cette violation, il s'agit peut être d'une violation de CALEA (Communications Assistance for Law Enforcement Act) qui autorise les écoutes sur le réseaux téléphoniques et interdit à l'Etat de forcer les compagnies à affaiblir la sécurité pour les rendre possible. Le problème est de savoir si CALEA de 1994 a pour vocation de limite AWA de 1789, il peut y avoir débat juridique assez subtile.

Même sans cette violation, il s'agit d'une interprétation sans borne de AWA (All Writs Act) qui si elle est possible signifie très certainement que AWA est contraire à la Constitution des USA puisqu'elle donnerait à un juge un pouvoir illimité.

Des juristes ont pris position pour dire que c'est un abus avec des argumentations étayés par des textes et la jurisprudence. (Je n'ai pas leur compétence juridique et je me contente d'essayer de comprendre les arguments utilisés et de les restituer correctement.)

Mais un shérif et quelques internautes qui n'ont pas étudié la question en profondeur, lu les textes applicables et la jurisprudence, et parfois n'ont même pas compris de quoi il retourne, prétendent que la chose est évidente!
Avatar de secuexpert secuexpert - Provisoirement toléré https://www.developpez.com
le 24/03/2016 à 19:43
Citation Envoyé par pcdwarf Voir le message
Évidemment qu'ils peuvent se passer de la coopération.
Pour des raisons de performances, il est évident qu'un smartphone n'emploie pas de cryptage fort. (type RSA/DSA à clé publique)
Je penche bcp pour AES qui a des accélération matérielles embarquées dans les SOC.
Or, AES, c'est bien mais pas inviolable. Et en particulier, sur des gros volumes, avec une part de données connues/attendues, c'est vulnérable à la cryptanalyse de gros bourrins.

Quand on peut désosser physiquement l'objet et qu'on a de gros moyens, extraire les données, c'est relativement aisé.
Une fois les données extraites, c'est pas comme si ils ne disposaient pas de supercalculateurs. pour les mouliner.
Et toi, c'est pas comme si tu entravais quoi que ce soit au sujet!!!!!!!! Je n'avais pas lu un message plus bourré de débilités depuis longtemps.

Tout ce que tu racontes n'est qu'un tissu d'âneries. 100%. Du début à la fin (sauf le détail sans pertinence comme quoi AES peut être accélération matériellement).

Je ne vois pas de manière plus sympa de le dire tout en restant honnête.

J'aimerais que tu cesses de diffuser des affirmations absurdes sur un sujet sur lequel tu es parfaitement incompétent. Tu trompes les lecteurs.

- RSA/DSA n'est pas synonyme de "cryptage fort"!!!!
- Un smartphone emploie évidemment de la crypto RSA ou DSA à chaque fois que c'est nécessaire!!!! Comme à chaque fois qu'il se connecte à une site HTTPS pour la première fois de la session.
- Un smartphone dispose évidemment d'une puissance de calcul ridiculement grande par rapport à quelques opérations de crypto.
- Aucune faille exploitable dans AES n'est connue.
- La quantité de données chiffrée ne rend pas un chiffre comme AES plus vulnérable!!!!

Bref il est évident que tu es cryptographe comme moi je suis chirurgien cardiaque.

Sauf que moi je sais à quoi sert le cœur et toi tu n'as pas l'air de savoir à quoi sert RSA!!!! Tu n'as même pas de très vague notion de cryptographie. Tu as juste entendu parler de trucs auxquels tu n'as rien compris. Je trouve ton intervention inadmissible sur un forum qui se veut sérieux : on n'est pas sur un blog kikoulol ici!!!!!

Ami lecteur, désolé pour le déluge "!" mais ils sont mérités.
Avatar de secuexpert secuexpert - Provisoirement toléré https://www.developpez.com
le 24/03/2016 à 19:54
Citation Envoyé par Théolude Voir le message
Je partage de beaucoup ce point de vue. La montée des tensions autour du terrorisme nous fait rentrer petit à petit dans un monde dont je ne veux pas, les réponses sécuritaires apportées par nos gouvernements sont certes efficaces pour protéger momentanément et apaiser les esprits, mais sont et de loin absolument pas suffisante et même contre productive sur le long terme. Il serait temps qu'ils s'en avisent...
Tu trouves que c'est efficace à un certain niveau?

Moi non!

De nombreux attentats (réussis ou non) montrent la nullité crasse des services de renseignement! Ai-je vraiment besoin de donner des exemples?

Citation Envoyé par Théolude Voir le message
Ceci dit sur le fond, une foire d'empoigne, Apple comme toujours a joué la communication, et ne c'est peut être pas non plus gêné pour faire avancer les choses en sous main ... et ce n'est qu'un téléphone qu'on force avec moult politesse, pas la porte d'un pauvre quidam moyen qui est défoncée par erreur avec tout le tralala musclé, juste pour une bête erreur d'adresse, de nom, ou parce qu'un voisin a cru bon d'avoir des doutes sur sa pratique religieuse ... mais dans ces cas là, ce ne sont que des dommages collatéraux dont on n'a pas besoin de causer ni de réfléchir.
C'est faux, il y a eu des critiques pour certaines interventions "musclées"...
Avatar de LSMetag LSMetag - Expert confirmé https://www.developpez.com
le 24/03/2016 à 20:00
Citation Envoyé par secuexpert Voir le message
Tu trouves que c'est efficace à un certain niveau?

Moi non!

De nombreux attentats (réussis ou non) montrent la nullité crasse des services de renseignement! Ai-je vraiment besoin de donner des exemples?

C'est faux, il y a eu des critiques pour certaines interventions "musclées"...
Pour l'instant je suis épargné par secuexpert ^^. Je dois pas être trop nul apparemment... Même si la crypto est loin d'être mon domaine fétiche.
Avatar de secuexpert secuexpert - Provisoirement toléré https://www.developpez.com
le 24/03/2016 à 23:02
Citation Envoyé par Traroth2 Voir le message
De nos jours, la police encourage le piratage et les pirates créent des start-ups. Le signe d'une époque...

Et les cambrioleurs, c'est pour quand ?
La PJ fait appel à des serruriers (dont je soupçonne un certain nombre d'être d'anciens ouvreurs de portes pour leur compte) pour forcer des serrures afin de procéder à des perquisitions. (Le serrurier n'est pas laissé seul dans la pièce à perquisitionné.)

Moi, ça ne me choque pas : quelqu'un exploite les faiblesses qu'il a découvert dans un système.

C'est totalement différent de :

- demander a priori à un concepteur de mettre des faiblesses utilisables par la police ("key escrow", Clipper, etc.)
ou
- demander a posteriori à un fabriquant de concevoir une moyen de neutraliser un mécanisme de sécurité de ses produits.

D'autant qu'il était demandé à Apple d'utiliser ses connaissances protégées par le secret de fabrication, comme le code source, et de signer numériquement le logiciel destiné à neutraliser le mécanisme de sécurisation avec sa clef privée servant à attester que le logiciel est légitime et qu'il va protéger le périphérique (l'iPhone est conçu pour refuser de démarrer sous un OS non signé).

Bien évidemment, on voit que ce mécanisme de sécurité n'est pas parfait : il dépend du fait que le constructeur n'essaie pas de le subvertir. On peut penser qu'Apple va sortir une nouvelle implémentation plus robuste.
Avatar de psychadelic psychadelic - Membre expert https://www.developpez.com
le 26/03/2016 à 16:13
Pour moi Apple est en train de perdre la face.

On peut tourner ça dans tous les sens, mais la seule chose qui les préoccupent réellement c'est de vendre leurs iPhones*; le coup du coffre fort inviolable, à la longue ça devient débilitant.

Parce que faire son buzz en faisant croire qu'ils se préoccupent avant tout de [fournir] un moyen de protéger nos données personnelles, c'est un peu prendre les gens pour des crétins.

La fin de partie va leur coûter cher, et ils vont devoir revoir entièrement toute leur approche sur la sécurité.

A commencer par organiser des «*Bugbounty*» avec de fortes primes, pour inverser la tendance chapeaux noir vers du blanc (les tableaux d'honneurs perdu au fond du site d'Apple, les hackeurs n'en n'ont rien à carrer)

Qu'ils gagnent ou qu'ils perdent sur le plan juridique n'a maintenant plus aucune importance, la graine du doute à été semée, et l'image d'Apple commence à ce ternir.

S'ils voulaient vraiment s'ériger en défenseurs des libertés, ça se saurait, ils aurraient au moins pu se fendre d'un communiqué à propos de Bradley Manning, ou d'Edward Snowden*[par exemple]; mais ils ont soigneusement évité de rentrer dans ce type de débat*: cela leur aurai fait perdre des parts de marché ...
Avatar de secuexpert secuexpert - Provisoirement toléré https://www.developpez.com
le 26/03/2016 à 23:53
Citation Envoyé par psychadelic Voir le message
Pour moi Apple est en train de perdre la face.
Je me demande bien ce qui te fait dire ça!!!

Citation Envoyé par psychadelic Voir le message
On peut tourner ça dans tous les sens, mais la seule chose qui les préoccupent réellement c'est de vendre leurs iPhones*;
Qu'Apple se préoccupe de son image de marque, de ses ventes, etc. n'est pas un secret ni répréhensible.

Citation Envoyé par psychadelic Voir le message
le coup du coffre fort inviolable, à la longue ça devient débilitant.
Justement j'aimerai avoir la citation exacte où un cadre d'Apple a dit ça. Pour moi ça ressemble à "l'accident nucléaire est impossible en France" qui est une invention des antinucléaires (les industriels parlant de probabilité c'est bien qu'ils partent du principe que c'est possible).

Citation Envoyé par psychadelic Voir le message
Parce faire son buzz en faisant croire qu'ils se préoccupent avant tout de [fournir] un moyen de protéger nos données personnelles, c'est un peu prendre les gens pour des crétins.
Savoir de quoi Apple se préoccupe "avant tout" est sans objet.

Citation Envoyé par psychadelic Voir le message
La fin de partie va leur coûter cher, et ils vont devoir revoir entièrement toute leur approche sur la sécurité.
Je ne vois pas de quoi tu veux parler. Aux dernières nouvelles, cette manche est finie est c'est le FBI qui s'est ridiculisé.

Citation Envoyé par psychadelic Voir le message
A commencer par organiser des «*Bugbounty*» avec de fortes primes, pour inverser la tendance chapeaux noir vers du blanc (les tableaux d'honneurs perdu au fond du site d'Apple, les hackeurs n'en n'ont rien à carrer)
Pourquoi pas. Faire appel à des compétences extérieures n'est pas "revoir entièrement toute leur approche sur la sécurité".

Citation Envoyé par psychadelic Voir le message
Qu'ils gagnent ou qu'ils perdent sur le plan juridique n'a maintenant plus aucune importance,
C'est la meilleure! Gagner ou perdre n'est pas important pour quelle raison selon toi?

Citation Envoyé par psychadelic Voir le message
la graine du doute à été semée, et l'image d'Apple commence à ce ternir.
Parce qu'avant les gens avaient des certitudes absolues sur la sécurité des iPhone?

En plus il me semble que c'est pas le dernier modèle donc il ne dispose pas des dernières fonctionnalités de sécurité. Apple peut toujours dire "achetez le dernier modèle, il est mieux protégé".

Citation Envoyé par psychadelic Voir le message
S'ils voulaient vraiment s'ériger en défenseurs des libertés, ça se saurait, ils aurraient au moins pu se fendre d'un communiqué à propos de Bradley Manning, ou d'Edward Snowden*[par exemple]; mais ils ont soigneusement évité de rentrer dans ce type de débat*: cela leur aurai fait perdre des parts de marché ...
Que vient faire la défense de lanceurs d'alerte ici? Pourquoi Apple devrait prendre position sur la publication de données classifiées de l'armée? Ces gens sont juridiquement "hors la loi". Qu'est-ce qu'une firme peut gagner en soutenant des hors la loi? Qui y gagnerait?

Tu ne veux pas aussi que Apple prenne position sur le Roundup, pendant qu'on y est?
Contacter le responsable de la rubrique Accueil