Cela fait maintenant plusieurs années que l’entreprise israélienne Cellebrite aide de nombreux gouvernements, polices et organismes de sécurité du monde entier à s’introduire dans les smartphones. Depuis quelques années, Cellebrite a notamment conclu des marchés avec l’État français, fournissant à nos forces de l’ordre des équipements capables d’aspirer en quelques minutes les données des téléphones saisis.
À voir aussi sur Konbini
Partenaire de cybersécurité du FBI depuis plus de dix ans, Cellebrite est désormais un acteur majeur de “l’investigation numérique légale” ou “inforensique”. Si l’entreprise israélienne est parfois pointée du doigt sur les dérives possibles que ses outils permettent, peu remettent en cause son expertise technique.
Des vulnérabilités invraisemblables
La donne vient de changer. Moxie Marlinspike s’est récemment fait connaître pour avoir créé l’application Signal, considérée comme l’une des meilleures alternatives à WhatsApp pour protéger ses données. Confiant, le développeur a publié mercredi un article faisant état d’énormes vulnérabilités sur les technologies de Cellebrite.
Chargement du twitt...
Pour résumer, Cellebrite utilise principalement deux outils : l’UFED, qui permet de franchir les sécurités pour aspirer des données cachées, voire supprimées d’un téléphone, et Physical Analyzer, qui montre toutes les traces de fichiers et événements dans l’appareil.
Logiquement, une telle technologie devrait elle-même posséder d’importantes mesures de sécurité face aux éléments qu’elle analyse. Or, selon Marlinspike, il n’en est rien :
“En regardant à la fois l’UFED et le Physical Analyzer, nous avons été surpris de constater que très peu de soin semble avoir été apporté à la sécurité logicielle de Cellebrite […]. Les défenses contre les exploitations de vulnérabilités que l’on retrouve habituellement dans l’industrie sont absentes, ce qui permet de nombreuses opportunités d’exploit […]. Il n’y a pratiquement aucune limite sur le code qui peut être exécuté.”
Concrètement, cela signifie que l’on pourrait exécuter toute sorte de programme malveillant dans les outils de Cellebrite. Cette découverte remet en cause l’intégrité des rapports lorsque les données des téléphones sont extraites.
Pour illustrer sa démonstration, le développeur de Signal donne l’exemple d’un logiciel de conversion audio/vidéo, nommé FFmpeg, dont des fichiers DLL sont présents dans la technologie Cellebrite. En neuf ans d’existence, ce logiciel a fait l’objet de plus de 100 mises à jour et correctifs de sécurité, mais aucun de ces derniers n’est intégré dans les produits de Cellebrite, explique Marlinspike.
Sur un autre sujet, le développeur pointe aussi du doigt que deux packs de logiciels MSI signés numériquement par Apple ont été extraits du programme, ce qui, selon lui, pourrait constituer une violation des droits d’auteur d’Apple.
Interrogé par Ars Technica, un représentant de Cellebrite a répondu que l’entreprise “s’engageait à protéger l’intégrité des données de [ses] clients, auditait et mettait constamment à jour [ses] logiciels afin d’équiper [ses] clients des meilleures solutions d’intelligence numérique disponibles”. Aucun détail n’a été donné sur les vulnérabilités soulevées par Marlinspike.
Une démonstration non sans humour
Outre l’impressionnante démonstration technique, le créateur de Signal ne manque pas d’humour. Déjà, pour expliquer comment il a eu accès à des outils et à la technologie Cellebrite, il explique avoir obtenu via “une coïncidence vraiment incroyable” l’équipement en question. En effet, selon ses dires, Marlinspike marchait et “a vu un petit paquet tomber d’un camion juste devant [lui]”.
Ce rapport édifiant pourrait avoir de grosses incidences sur Cellebrite. En effet, ces vulnérabilités mises en lumière pourraient donner beaucoup d’arguments aux avocats de la défense lorsqu’il s’agit de contester l’expertise et l’intégrité des rapports générés à l’aide de la technologie de l’entreprise israélienne.
Marlinspike conclut néanmoins en tendant la main, non sans une certaine ironie, à la société d’inforensique :
“Nous sommes, bien sûr, disposés à divulguer de manière responsable les vulnérabilités spécifiques que nous connaissons sur Cellebrite, si l’entreprise fait de même pour toutes les vulnérabilités qu’elle utilise dans son extraction physique et autres services à ses fournisseurs respectifs, maintenant et à l’avenir.”
