BBM : la police canadienne a utilisé la clé de déchiffrement de BlackBerry

Une instruction en cours au Canada a révélé que la police avait été en possession de la clé de déchiffrement que BlackBerry utilise pour les échanges de messages entre utilisateurs du grand public. La défense exige son obtention afin de prouver que les messages incriminants sont authentiques.

La police canadienne serait bien en possession de la clé globale de déchiffrement de BlackBerry depuis 2010. L’article de Vice pointe des documents issus d’un tribunal et montrant que les forces de l’ordre ont pu notamment mettre en place une opération de surveillance des communications sur des messages échangés entre BlackBerry. Ces échanges étant chiffrés, leur contenu ne pouvait être obtenu qu’à travers la fameuse clé.

Pour comprendre la situation, précisons d’emblée qu’il existe deux cas bien distincts chez BlackBerry. Les smartphones de la marque utilisés dans un cadre grand public peuvent bien s’échanger des messages chiffrés via BBM, mais la clé est en possession de BlackBerry. En entreprise cependant, quand un Enterprise Server (BES) est mis en place, une clé de chiffrement/déchiffrement peut être créée et stockée à part. BlackBerry n’a alors aucun moyen de savoir ce qui transite.

Quatre criminels et une clé

L’opération de la police canadienne a été mise en place suite à une affaire de meurtre dans le cadre d’une organisation mafieuse. Les documents du tribunal montrent qu’à partir de 2010, et au moins jusqu’en 2012, les forces de l’ordre ont non seulement pu obtenir les identités qui se cachaient derrière quatre pseudos, mais que les messages eux-mêmes ont pu être lus. Aaaaaaacounts était donc Pietro Magistrale, Shadow était Felice Racaniello, Gâteau était Steven Fracas et JJ était Jack Simpson. Traqués, ces quatre hommes ont ensuite été impliqués dans le meurtre de Salvatore Montagna, le 24 novembre 2011.

Si la RCMP (Royal Canadian Mounted Police) a bien obtenu la clé, on ne sait en revanche pas exactement comment. Les documents indiquent que la police a contacté l’opérateur concerné (Rogers) ou BlackBerry, ou même les deux. Aucune trace écrite ne précise qui a donné la clé, et il reste possible que la RCMP l’ait obtenue autrement, sans que BlackBerry ait son mot à dire. En tout, ce sont pas moins d'un million de message environ qui ont été déchiffrées par ce biais durant toute la durée de l'enquête.

La défense exige la clé de déchiffrement

Or, l’utilisation de cette clé a provoqué un grand débat au tribunal. L’accusation est restée particulièrement silencieuse sur la source de ces informations, alors que la défense a demandé au contraire à ce qu’on lui communique toutes les pièces, y compris la clé. L’explication est simple : elle avait besoin de savoir si les messages étaient authentiques. L’accusation s’est retrouvée en partie coincée entre l’affirmation que les échanges étaient bien ce qu’elle prétendait être et la nécessité de garder la clé secrète.

Pour l’avocat du gouvernement canadien, pas question cependant de donner cette clé. L’embarras était cependant perceptible : « Je vais me retenir de faire le moindre commentaire parce que nous marchons sur un fil très très mince. Je ne veux pas tomber dans un piège ». Le juge a pourtant appuyé la défense pendant un temps, avant de se rétracter.

Le gouvernement canadien et BlackBerry bloquent la demande

Le gouvernement en a simplement appelé à son privilège de ne pas avoir à répondre aux questions du tribunal sur ce type d’affaire. Il a également indiqué que toute révélation sur ce chapitre très sensible pourrait avoir un impact négatif sur les finances de BlackBerry. Par ailleurs, une telle révélation mettrait en danger la relation entre la société et les forces de l’ordre.

BlackBerry s’est elle aussi récriée face à une telle demande. Alan Treddenick, directeur de la sécurité nationale dans l’entreprise, a expliqué qu’accepter une telle demande (fournir la clé à la défense) « impacterait potentiellement les relations avec les autres utilisateurs ainsi qu’avec globalement les enquêtes criminelles dans tous les pays étrangers où BlackBerry est installée et fournit des services de communication ».

Ni confirmation, ni déni 

On notera d’ailleurs que ni la RCMP, ni BlackBerry n’ont confirmé cette version des évènements, pas plus qu’ils ne l’ont niée. La question de savoir si la RCMP continue d’avoir la clé en sa possession reste entière, même si les documents semblent indiquer que c’est bien le cas.

Dans tous les cas, ces révélations arrivent à un carrefour particulier de l’histoire informatique. Le chiffrement est au cœur des débats, et pas seulement aux États-Unis où l’affrontement entre Apple et le FBI a éclairé à nouveau la question centrale : quelle place donner à cette sécurité quand elle peut ralentir, voire bloquer certaines enquêtes ? Pour l'instant, l'instruction canadienne est toujours en cours.

BlackBerry, durant cette période, aura sans doute fort à faire pour défendre des accusations qui vont fatalement pleuvoir pour attaquer sa position forte sur la sécurité. Le fait qu'un produit grand public comme BBM utilise une clé de déchiffrement globale n'est en rien étonnant. Ce n'est pas différent de ce que l'on trouve par exemple chez Apple avec iCloud, qui a bien la capacité de remettre aux autorités les données réclamées en cas de mandat délivré par un juge. Mais le calendrier tombe au plus mal pour BlackBerry car la sécurité et la protection des données sont désormais les deux forces principalement mises en avant. Et ce d'autant plus que l'entreprise s'était vantée en 2013, peu après les premières révélations de Snowden, d'échapper complètement aux machinations de la NSA.