BBM : la police canadienne a utilisé la clé de déchiffrement de BlackBerry

BBM : la police canadienne a utilisé la clé de déchiffrement de BlackBerry

Avec ou sans approbation, la question reste entière

Avatar de l'auteur

Vincent Hermann

Publié dansSociété numérique

15/04/2016
31
BBM : la police canadienne a utilisé la clé de déchiffrement de BlackBerry

Une instruction en cours au Canada a révélé que la police avait été en possession de la clé de déchiffrement que BlackBerry utilise pour les échanges de messages entre utilisateurs du grand public. La défense exige son obtention afin de prouver que les messages incriminants sont authentiques.

La police canadienne serait bien en possession de la clé globale de déchiffrement de BlackBerry depuis 2010. L’article de Vice pointe des documents issus d’un tribunal et montrant que les forces de l’ordre ont pu notamment mettre en place une opération de surveillance des communications sur des messages échangés entre BlackBerry. Ces échanges étant chiffrés, leur contenu ne pouvait être obtenu qu’à travers la fameuse clé.

Pour comprendre la situation, précisons d’emblée qu’il existe deux cas bien distincts chez BlackBerry. Les smartphones de la marque utilisés dans un cadre grand public peuvent bien s’échanger des messages chiffrés via BBM, mais la clé est en possession de BlackBerry. En entreprise cependant, quand un Enterprise Server (BES) est mis en place, une clé de chiffrement/déchiffrement peut être créée et stockée à part. BlackBerry n’a alors aucun moyen de savoir ce qui transite.

Quatre criminels et une clé

L’opération de la police canadienne a été mise en place suite à une affaire de meurtre dans le cadre d’une organisation mafieuse. Les documents du tribunal montrent qu’à partir de 2010, et au moins jusqu’en 2012, les forces de l’ordre ont non seulement pu obtenir les identités qui se cachaient derrière quatre pseudos, mais que les messages eux-mêmes ont pu être lus. Aaaaaaacounts était donc Pietro Magistrale, Shadow était Felice Racaniello, Gâteau était Steven Fracas et JJ était Jack Simpson. Traqués, ces quatre hommes ont ensuite été impliqués dans le meurtre de Salvatore Montagna, le 24 novembre 2011.

Si la RCMP (Royal Canadian Mounted Police) a bien obtenu la clé, on ne sait en revanche pas exactement comment. Les documents indiquent que la police a contacté l’opérateur concerné (Rogers) ou BlackBerry, ou même les deux. Aucune trace écrite ne précise qui a donné la clé, et il reste possible que la RCMP l’ait obtenue autrement, sans que BlackBerry ait son mot à dire. En tout, ce sont pas moins d'un million de message environ qui ont été déchiffrées par ce biais durant toute la durée de l'enquête.

blackberry canada
Crédits : Vice

La défense exige la clé de déchiffrement

Or, l’utilisation de cette clé a provoqué un grand débat au tribunal. L’accusation est restée particulièrement silencieuse sur la source de ces informations, alors que la défense a demandé au contraire à ce qu’on lui communique toutes les pièces, y compris la clé. L’explication est simple : elle avait besoin de savoir si les messages étaient authentiques. L’accusation s’est retrouvée en partie coincée entre l’affirmation que les échanges étaient bien ce qu’elle prétendait être et la nécessité de garder la clé secrète.

Pour l’avocat du gouvernement canadien, pas question cependant de donner cette clé. L’embarras était cependant perceptible : « Je vais me retenir de faire le moindre commentaire parce que nous marchons sur un fil très très mince. Je ne veux pas tomber dans un piège ». Le juge a pourtant appuyé la défense pendant un temps, avant de se rétracter.

Le gouvernement canadien et BlackBerry bloquent la demande

Le gouvernement en a simplement appelé à son privilège de ne pas avoir à répondre aux questions du tribunal sur ce type d’affaire. Il a également indiqué que toute révélation sur ce chapitre très sensible pourrait avoir un impact négatif sur les finances de BlackBerry. Par ailleurs, une telle révélation mettrait en danger la relation entre la société et les forces de l’ordre.

BlackBerry s’est elle aussi récriée face à une telle demande. Alan Treddenick, directeur de la sécurité nationale dans l’entreprise, a expliqué qu’accepter une telle demande (fournir la clé à la défense) « impacterait potentiellement les relations avec les autres utilisateurs ainsi qu’avec globalement les enquêtes criminelles dans tous les pays étrangers où BlackBerry est installée et fournit des services de communication ».

Ni confirmation, ni déni 

On notera d’ailleurs que ni la RCMP, ni BlackBerry n’ont confirmé cette version des évènements, pas plus qu’ils ne l’ont niée. La question de savoir si la RCMP continue d’avoir la clé en sa possession reste entière, même si les documents semblent indiquer que c’est bien le cas.

Dans tous les cas, ces révélations arrivent à un carrefour particulier de l’histoire informatique. Le chiffrement est au cœur des débats, et pas seulement aux États-Unis où l’affrontement entre Apple et le FBI a éclairé à nouveau la question centrale : quelle place donner à cette sécurité quand elle peut ralentir, voire bloquer certaines enquêtes ? Pour l'instant, l'instruction canadienne est toujours en cours.

BlackBerry, durant cette période, aura sans doute fort à faire pour défendre des accusations qui vont fatalement pleuvoir pour attaquer sa position forte sur la sécurité. Le fait qu'un produit grand public comme BBM utilise une clé de déchiffrement globale n'est en rien étonnant. Ce n'est pas différent de ce que l'on trouve par exemple chez Apple avec iCloud, qui a bien la capacité de remettre aux autorités les données réclamées en cas de mandat délivré par un juge. Mais le calendrier tombe au plus mal pour BlackBerry car la sécurité et la protection des données sont désormais les deux forces principalement mises en avant. Et ce d'autant plus que l'entreprise s'était vantée en 2013, peu après les premières révélations de Snowden, d'échapper complètement aux machinations de la NSA.

31
Avatar de l'auteur

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

C’est comme CVSS 5.0 mais en moins bien

18:17 Sécu 1
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Géotechnopolitique

16:37 Web 19
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

Il faudrait déjà généraliser la fibre

16:03 HardWeb 20

Sommaire de l'article

Introduction

Quatre criminels et une clé

La défense exige la clé de déchiffrement

Le gouvernement canadien et BlackBerry bloquent la demande

Ni confirmation, ni déni 

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

Sécu 1
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Web 19
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

HardWeb 20
Photo d'un immeuble troué de part en part

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

DroitSécu 7
lexique IA parodie

AGI, GPAI, modèles de fondation… de quoi on parle ?

IA 7

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion

livre dématérialisé

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

IAScience 3
Un chien avec des lunettes apprend sur une tablette

Devenir expert en sécurité informatique en 3 clics

Sécu 11
Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Sécu 16
Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hard 7
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécu 10

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardWeb 2
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IASociété 62

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA 33
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitWeb 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société 5
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitWeb 3

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

Le poing Dev – round 6

Next 148

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Droit 9
consommation de l'ia

Usages et frugalité : quelle place pour les IA dans la société de demain ?

IA 12

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Science 17
Concept de CPU

Semi-conducteurs : un important accord entre l’Europe et l’Inde

Hard 7

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

651e édition des LIDD : Liens Intelligents Du Dimanche

Web 30
Bannière de Flock avec des bomes sur un fond rouge

#Flock, le grand remplacement par les intelligences artificielles

Flock 34
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #9 : LeBrief 2.0, ligne édito, dossiers de fond

Next 65
Nuage (pour le cloud) avec de la foudre

Cloud : Google demande au régulateur britannique d’enquêter sur Microsoft

Droit 1

Ariane 6 sur son pas de tir

Ariane 6 : premier décollage à l’été 2024

Science 1

La Grande Mosquée se détache devant les toits des maisons de Jérusalem.

Conflit Israël-Hamas : 349 marques financent la désinformation via la publicité programmatique

Web 0

Logo de Nextcloud

Nextcloud rachète la solution open-source de webmail Roundcube

ÉcoWeb 1

Logo de Steam

Steam va abandonner le support de macOS 10.13 et 10.14

Soft 0

Commentaires (31)


Mr.Nox Abonné
Il y a 8 ans

Je me rappelle que Rim, lors des émeutes de Londres avait fini par donner les données de ses utilisateurs incriminés. Pareil en Inde je crois.


Quiproquo Abonné
Il y a 8 ans

Du coup, les pièces sont recevable ou pas ? Si oui, c’est pratique pour l’accusation.


kypd
Il y a 8 ans

Sans fournir la clé qui a servi à déchiffrer les données comment certifier que ce sont bien les véritables données inaltérées fournies par l’accusation ?

Je suis sur qu’en inventant un algorithme sur le pouce avec une clé bidon je pourrais donner n’importe quel sens à une suite de données aléatoires… (typiquement un bête xor avec les données que je cherche réellement et prétendre que la complétion est la clé de déchiffrement !)

Un peu comme une sorte d’étude numérologique bidon…


coket Abonné
Il y a 8 ans

BlackBerry a toujours dit qu’ils collaborent avec les autorités en cas de crimes ou de terrorisme.

Ça ne concerne effectivement pas les clients BES, on a pu le voir lors du bras de fer avec le gouvernement pakistanais.


Nerkazoid
Il y a 8 ans

Au fur et à mesure des news concernant Blackberry, j’ai l’impression de voir, par anticipation, ce qui attend les autres compagnies et potentiellement ce qui sera révélé au fur et à mesure <img data-src=" />


Misesboy
Il y a 8 ans

“quelle place donner à cette sécurité quand elle peut ralentir, voire bloquer certaines enquêtes&nbsp;?”
Rien a foutre de leur pleurnicheries, qu’ils fassent leurs enquêtes SANS espionner massivement tout ce qui bouge. Il a toujours eu des enquêtes longues, des enquêtes qui n’aboutissaient pas. Bien sur ça faciliterais grandement le boulots des flics de mettre tout le monde en cabane, comme ça on serait certain que toutes les enquêtes sont résolues… Le travail de la police est un travail difficile et cela doit le rester sinon nous vivrons bientôt dans un état policier.


Ricard
Il y a 8 ans

Il y a toujours des utilisateurs de BB ? <img data-src=" />


trekker92
Il y a 8 ans






DotNerk a écrit :

Au fur et à mesure des news concernant Blackberry, j’ai l’impression de voir, par anticipation, ce qui attend les autres compagnies et potentiellement ce qui sera révélé au fur et à mesure <img data-src=" />


tout vient à point à qui sait attendre



trekker92
Il y a 8 ans






Ricard a écrit :

Il y a toujours des utilisateurs de BB ? <img data-src=" />


tout pleins, ceux qu’ont ni tel classique ni smartphone
c’est encore très apprécié



Nerkazoid
Il y a 8 ans

Je confirme et ce, pour différentes raisons <img data-src=" />


Burn2 Abonné
Il y a 8 ans

Sur 1 million de message arriver à avoir un résultat probant ça reste chaud quand même si ce n’est pas la vrais clef…

Il faudrait quand même un sacret bout de temps pour arriver à trouver une clef inventée qui te convienne qui déchiffre autant de message et qui veuille dire quelque chose déjà, et en plus quel que chose qui t’arrange…


Nerkazoid
Il y a 8 ans

Présent <img data-src=" />

Notamment pour le clavier physique, j’utilise aucune application et pour mon usage pro, je ne sais pas pourquoi mais ayant paramétré des règles dans mon webmail perso, je vois dans le hub l’ensemble des mails qui sont dans les sous-sous-dossiers. J’ai essayé sur un Iphone et j’étais obligé de deviner que j’avais reçu un mail pour aller sur le sous-sous-dossier pour que ça s’actualise. Ceci était rédhibitoire dans mon cas. J’avoue ne pas avoir testé sous Android ou un Windows Phone s’il y avait ce même “souci”.

Les autres choses qui m’ont décidé c’est blend et “Docs To Go”. Quand je modifie un document dans “Docs To Go” il “reste” sur mon téléphone quand j’ai tenté sur un Iphone avec “Numbers”, ça m’obligeait à passer par Icloud et par principe je n’étais pas fan de cette “appropriation” de la part d’Apple de mes documents et ceux de mes clients. Ici non plus, pas testé avec un Android ni un Windows Phone et/ou une application tierce. Le fait que “Docs To Go” soit en natif était un plus pour moi <img data-src=" />


Nerkazoid
Il y a 8 ans

Il faudrait aussi voir si les messages déchiffrés n’étaient pas chiffrés par les méchants pas beaux&nbsp; du genre “Le poney à 5 pattes a franchi les Alpes à reculons de nuit”&nbsp; <img data-src=" />


Patch Abonné
Il y a 8 ans






trekker92 a écrit :

tout pleins, ceux qu’ont ni tel classique ni smartphone
c’est encore très apprécié

Les BB ne sont pas des smartphones? On m’aurait menti à l’insu de mon plein gré?



WereWindle
Il y a 8 ans






Mithrill a écrit :

J’ai même envie de dire qu’il n’y a pas plus smartphone qu’un Blackberry… ou que les feux smartphones Nokia.


“her trolling level is over 9000 !” *détruit sa demie google glass dans son poing*



butters
Il y a 8 ans






Ricard a écrit :

Il y a toujours des utilisateurs de BB ? <img data-src=" />


Oui, présent ! :)



pv_le_worm Abonné
Il y a 8 ans

Tu chiffres un message, si ils sont capables de le déchiffrer alors ils ont la clef, CQFD.


Ami-Kuns Abonné
Il y a 8 ans

En clair ou en crypté. <img data-src=" />


kypd
Il y a 8 ans

Hum je me demande si la certification par “challenge” est bien prévue dans le cadre d’un procès <img data-src=" />

Mais en effet à défaut de fournir la clé à la défense pour qu’elle ai accès au même dossier que l’accusation ça devrait être un pré-requis de vérifier que la pièce “clé privée” est valide en demandant aux autorités de déchiffrer un message précis dont la défense connait le contenu à l’avance…

Enfin ça fonctionne pour le cas d’une “master key” fourni par un service tiers, si ça concernait un échange type GPG la défense n’aurait aucun intérêt à prétendre posséder l’autre clé pour initier un challenge, ça serait de l’auto-incrimination <img data-src=" />


anonyme_47da8d4ad4eb955aa025af080b0387df
Il y a 8 ans






kypd a écrit :

Sans fournir la clé qui a servi à déchiffrer les données comment certifier que ce sont bien les véritables données inaltérées fournies par l’accusation ?

Et bien sûr la clé de déchiffrement peut aussi chiffrer je suppose ? Du
coup même si la défense obtient la clé les messages auraient quand même
pu être authentiquement faux , forgés par l’autre camp ?&nbsp; Exemple de fabrication de “preuves” à base de témoignages biaisés &nbsp;https://www.washingtonpost.com/local/crime/fbi-overstated-forensic-hair-matches-…



ludo0851
Il y a 8 ans

Si tout le monde était espionné en masse aveuglément comme tu l’insinues , ils n’auraient pas besoin de réclamer les clés de déchiffrement à chaque affaire….Pour recuperer des infos qu’ils auraient déjà ?

La vérité est quelque part entre les bisounours et le complot mondial.


Anonyme_f7d8f7f164fgnbw67p
Il y a 8 ans

C’est quoi encore que cette distinction arbitraire entre particuliers et entreprises ? En gros, BB permet aux entreprises de ne pas se faire choper en cas de grosses malversations financières, ou délit d’initié, etc.


elezoic
Il y a 8 ans

S’il y a une clef de déchiffrement, c’est qu’il s’agit de chiffrement asymétrique et qu’il existe donc une clef de chiffrement qui elle est connue publiquement. Donc il est possible de savoir si un texte clair a été chiffré par un même processus de chiffrement en comparant le texte chiffré et un texte crypté qui doivent être identiques.
Il suffit donc d’avoir : un texte crypté, la clef et le programme de chiffrement (récupérables sur l’appareil blackberry), le texte clair (données utiles + données aléatoires (sel, bruit, etc.))

A moins qu’il &nbsp;s’agisse d’un algorithme de chiffrement qui puisse produire des chiffrés différents avec des entrées strictement identiques…


Krogoth
Il y a 8 ans






Drepanocytose a écrit :

C’est quoi encore que cette distinction arbitraire entre particuliers et entreprises ? En gros, BB permet aux entreprises de ne pas se faire choper en cas de grosses malversations financières, ou délit d’initié, etc.


As tu seulement idée de la valeur de certaines données confidentielle pour certaines entreprise? &nbsp;Avoir la clef possédée par un tiers est inconcevable…et pas besoin que ce soit des donnés pour cacher quelques milliers/millions de $.



Anonyme_f7d8f7f164fgnbw67p
Il y a 8 ans






Krogoth a écrit :

As tu seulement idée de la valeur de certaines données confidentielle pour certaines entreprise?  Avoir la clef possédée par un tiers est inconcevable…et pas besoin que ce soit des donnés pour cacher quelques milliers/millions de \(.


Le rapport ?
As-tu selement idée du mal que peut faire la divulagation de certaines infos sur une vie humaine ?
OSEF des millions de \)
, moi ce que je vois c’est qu’encore une fois, les besoins/envies des entreprises passent au dessus des besoins/envies des humains.



CryoGen Abonné
Il y a 8 ans






Drepanocytose a écrit :

C’est quoi encore que cette distinction arbitraire entre particuliers et entreprises ? En gros, BB permet aux entreprises de ne pas se faire choper en cas de grosses malversations financières, ou délit d’initié, etc.


La distinction n’est pas arbitraire :

Pour comprendre la situation, précisons d’emblée qu’il existe deux cas bien distincts chez BlackBerry. Les smartphones de la marque utilisés dans un cadre grand public peuvent bien s’échanger des messages chiffrés via BBM, mais la clé est en possession de BlackBerry. En entreprise cependant, quand un Enterprise Server (BES) est mis en place, une clé de chiffrement/déchiffrement peut être créée et stockée à part. BlackBerry n’a alors aucun moyen de savoir ce qui transite.

Donc si tu es un utilisateur “non BES” c’est BB qui peut aider l’enquête, sinon il faut voir avec l’entreprise responsable. Et en général, on ne commence pas par devoir déchiffrer des messages pour trouver le début d’une malversation en entreprise : on découvre qu’il y a un problème, on ouvre l’enquête et l’entreprise doit coopérer pour trouver les coupables, le refus d’obtempérer étant très grave… <img data-src=" />



Krogoth
Il y a 8 ans






Drepanocytose a écrit :

Le rapport ?
As-tu selement idée du mal que peut faire la divulagation de certaines infos sur une vie humaine ?
OSEF des millions de $, moi ce que je vois c’est qu’encore une fois, les besoins/envies des entreprises passent au dessus des besoins/envies des humains.


Euh…


Drepanocytose a écrit :

C’est quoi encore que cette distinction arbitraire entre particuliers et entreprises ? En gros, BB permet aux entreprises de ne pas se faire choper en cas de grosses malversations financières, ou délit d’initié, etc.


Faut rester cohérent dans ses propos quand même.



Anonyme_f7d8f7f164fgnbw67p
Il y a 8 ans






Krogoth a écrit :

Euh…

Faut rester cohérent dans ses propos quand même.


Bah c’est cohérent, où est le souci ?
On flique les gens mais on permet aux entreprises de se faire moins facilement fliquer.
Concretèment, avantage aux entreprises, alors que ca devrait être avantage aux humains.



Krogoth
Il y a 8 ans

Tu commences a parler de:
&nbsp;“grosses malversations financières, ou délit d’initié”.
&nbsp;
Puis tu réponds en disant:
&nbsp;“OSEF des millions de $”

Donc non ce n’est pas cohérent.