iPhone (dé)verrouillé : Apple ne réclamera pas au FBI la méthode utilisée

iPhone (dé)verrouillé : Apple ne réclamera pas au FBI la méthode utilisée

Elle n'aurait de toute manière rien obtenu

Avatar de l'auteur
Vincent Hermann

Publié dans

Droit

12/04/2016
33

iPhone (dé)verrouillé : Apple ne réclamera pas au FBI la méthode utilisée

Apple a annoncé vendredi dernier qu’elle ne réclamerait pas au FBI la méthode utilisée pour déverrouiller l’iPhone 5c retrouvé après la fusillade de San Bernardino. Une manière pour la firme de garder la tête haute, car elle n’aurait pas pu forcer l’agence à dévoiler ces informations.

Cet iPhone 5c avait été retrouvé sur le corps de Syed Farook, après le massacre par ce dernier et sa femme à San Bernardino, qui avait provoqué la mort de 11 personnes et fait 35 blessés. Entre les mains du FBI, le smartphone a cependant résisté aux tentatives d’extraction des données. Le chiffrement appliqué tenait compte, pour sa clé, du code de verrouillage à quatre chiffres proposé par iOS. Apple, qui ne possédait pas cette information, indiquait alors ne pas être en mesure d’aider les enquêteurs.

On connait la suite : ordonnance du tribunal pour obliger l’entreprise à agir, combat, batailles rangées d’arguments et finalement mise en lumière de l’affrontement central, à savoir celui de la Silicon Valley contre le gouvernement américain autour du chiffrement. Puis rebondissement : le FBI n’avait finalement plus besoin d’Apple. L’agence fédérale s'était en effet trouvé un allié qui lui fournissait une autre méthode, qui a fonctionné.

Une solution tierce qui sous-entend une faille de sécurité

On ne connait ni l’identité de ce tiers, ni les détails de la méthode. Sur le premier point, on peut tabler sur un candidat potentiel : Celebrite. Cette entreprise israélienne s’est fait une spécialité des outils pour aider les enquêtes qui buttent sur ce genre de difficulté. Aucun lien formel n’a été établi, mais certains sites, notamment The Hacker News, le tiennent pratiquement pour acquis. Quant à la méthode, elle demeure mystérieuse et a provoqué l’agacement d’Apple.

La firme a donc cherché à obtenir les détails de la technique, et ce pour une raison simple : il y a de grandes chances qu’elle soit basée sur une ou plusieurs failles de sécurité. Or, si de telles brèches existent encore, la société a tout intérêt à les colmater puisqu’elles peuvent être considérés comme 0-day, c’est-à-dire déjà exploitées alors même qu’aucune solution n’existe. Et si le FBI a pu s’en servir, des pirates le peuvent aussi, avec des objectifs beaucoup plus malveillants.

Le FBI n'a aucune obligation de fournir les détails

Seulement voilà, dans une annonce publiée le 28 avril 2014 au sujet de la faille Heartbleed, la Maison Blanche avait expliqué en détails sa philosophie sur la manière dont elle révélait les détails des failles. Chacune passe à travers un examen, le Vulnerabilities Equities Process, dont nous avions déjà parlé lors d’articles sur la gestion des failles 0-day par la NSA et la Navy. C’est seulement à la fin de ce processus que les instances fédérales déterminent si oui ou non les informations seront remontées à l’éditeur.

De fait, quand un représentant d’Apple a indiqué vendredi dernier lors d’une conférence téléphonique que la société ne réclamerait pas les détails, la vérité est qu’elle n’a aucun moyen de pression pour les obtenir. Si le FBI refuse catégoriquement de livrer les informations, la firme n’a aucun recours juridique.

Tout aussi intéressant, le fait que le représentant ait indiqué ne pas comprendre comment la méthode pouvait être spécifique à un iPhone 5c, ce qui a pourtant été mis en avant par le FBI. Cela sous-entend évidemment des ressemblances techniques qui ne devraient pas limiter l’extraction à ce seul modèle. D’ailleurs, puisque l’agence a déjà indiqué qu’elle allait apporter son concours dans d’autres affaires, la méthode peut sans doute être adaptée. Oui, mais jusqu’où ?

Apple travaille sans doute à ne pas revivre cet épisode

Une chose semble claire actuellement : Apple n’en restera pas là. Étant donné l’implication de la firme dans les sujets du chiffrement et du curseur à déplacer entre sécurité et respect de la vie privée, il y a fort à parier qu’elle annoncera des nouveautés spécifiques à ce chapitre dans iOS 10, qui devrait être présenté en juin lors de la prochaine WWDC. Il n’est pas non plus impossible que des apports matériels soient faits dans le prochaine iPhone « 7 », à la manière de l’enclave sécurisée apparue avec l’iPhone 5s.

En tenant compte de la réaction épidermique de l’entreprise aux demandes du FBI, il est évident qu’elle cherchera à ne plus être baladée de cette manière dans le futur. Sur le papier, on peut parler de victoire pour l’entreprise, puisqu’elle a tenu bon, en dépit d’ailleurs d’une opinion publique plutôt favorable aux demandes du FBI. Dans la pratique, ce dernier a obtenu ce qu’il voulait, garde sa méthode secrète et se tient prêt à relancer une procédure au besoin. D’ailleurs, le Bureau se tourne actuellement vers Google pour des dossiers similaires, à ceci près que le chiffrement intégral des données sous Android est beaucoup moins répandu.

33

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une solution tierce qui sous-entend une faille de sécurité

Le FBI n'a aucune obligation de fournir les détails

Apple travaille sans doute à ne pas revivre cet épisode

Commentaires (33)


Le 12/04/2016 à 14h 53

Korben semble avoir trouvé l’outil utilisé par le FBI <img data-src=" />


Le 12/04/2016 à 14h 57

Non.




Cela ne fonctionne que pour un téléphone avec 4 digits Pin, sous iOS 7 et surtout avec le système de l'effacement des données de l'iphone après 10 tentatives échouées désactivé.

coket Abonné
Le 12/04/2016 à 15h 02

“la société a tout intérêt à les colmater puisqu’elles peuvent être considérés comme 0-day, c’est-à-dire déjà exploitées”





C’est assez difficile à comprendre…



Si cette (ou ces) faille(s) existe(nt) et ont été utilisée(s) pour le déverrouillage de l’appareil en question, ne doit on pas la (les) considérer comme exploitée(s), et donc 0 day?


Le 12/04/2016 à 15h 10

La méthode, c’est de taper les 9999 nombres possibles du code PIN, et à un moment ça marche il suffit que les gars de FBI se relaient et c’est bon comme pour déverrouiller n’importe quel code.


Mr.Nox Abonné
Le 12/04/2016 à 15h 10

Je ne comprend pas qu’il soit si peu rappelé qu’appliquer aide sans sourciller selon le gouvernement en face d’elle (la Chine en l’occurrence, expliqué dans un seul de vos articles sur le sujet). Cela fini par présenter l’entreprise comme la seule se battant pour la vie privée, ce qui est finalement faux.

Pareil pour Google au passage, je dirai même que c’est pire chez eux.

Je me demande comment c’est chez Microsoft pour le coup.


coket Abonné
Le 12/04/2016 à 15h 13

Pareil… S’ils ont fait un W10 spécial Chine c’est pas pour y dessiner des dragons et des tigres en fond d’écran.


fred42 Abonné
Le 12/04/2016 à 15h 18



iPhone (dé)verrouillé : Apple ne réclamera pas au FBI la méthode utilisée

Elle n’aurait de toute manière rien obtenu





Voilà, tout était déjà dit.



Un long article qui ne fait quasiment que répéter ce que l’on a déjà lu dans pas mal de news différentes ici.


Le 12/04/2016 à 15h 22

Premièrement, 10 000 possibilités.

Deuxièmement, le problème majeur était le verrouillage de l’appareil en cas de multiples essais infructueux, avec possible effacement des données du téléphone.

Ils ne sont pas débiles à ce point…



Édit : La fonction répondre semble avoir du mal sur mobile, ou bien c’est moi qui ait du mal.

Je répondais bien sur à Exception.


hellmut Abonné
Le 12/04/2016 à 15h 40

ben ça n’a rien à voir, on parle ici de la bataille Apple-FBI.



tout le monde comprend bien qu’une boite comme Apple, et d’ailleurs n’importe quelle boite internationale, ne peut juste ignorer la Chine (quelques centaines de millions de clients potentiels, juste).

si t’en connais, fais tourner, ça m’étonnerait que ça existe.<img data-src=" />


Le 12/04/2016 à 15h 43

A confirmer, mais Blackberry me semble-t-il <img data-src=" />


hellmut Abonné
Le 12/04/2016 à 15h 47

ah oui tiens, bien vu. ^^

pourtant vu le patronyme de son PDG… <img data-src=" />


Le 12/04/2016 à 15h 55

<img data-src=" />


!vrai, désolé.



Vous n’avez pas pris la peine de cliquer sur le bouton orange des commentaires sur l’article de korben, j’ai laissé des remarques sur son blog en expliquant que ZATAZ en avait parlé au mois de mars concernant le(s) IP-BOX sur iOS 8, je n’ai pas envie de faire un copier-coller, naturellement j’ai mis des liens pour chaque source par rapport à l’article.



Il suffit de suivre le lien de picatrix (c’est le nom d’un grimoire magique arabe en version latin, en effet il s’agit de la traduction&nbsp;un traité arabe Ghâyat al-hakîm, écrit par Maslama al-Mayriti (~950-1008)).



j’utilise le même pseudo.

&nbsp;

&nbsp;


Le 12/04/2016 à 17h 26







Sqlutsqvq a écrit :



Non.




 Cela ne fonctionne que pour un téléphone avec 4 digits Pin





Non. Ca fonctionne avec un code pin à 4 chiffres.<img data-src=" />



Le 12/04/2016 à 17h 27







picatrix a écrit :



Korben semble avoir trouvé l’outil utilisé par le FBI <img data-src=" />





Korben à relayé une info qu’il a trouvé ailleurs.<img data-src=" />



Mr.Nox Abonné
Le 12/04/2016 à 17h 29

Je ne crois pas avoir dit qu’une boite X ou Y est meilleure, simplement qu’il serai bon de rappeler que d’un côté Apple est encensé pour sa non-aide face au FBI et que de l’autre elle file aux Chinois ce qu’ils demandent non pas pour un un ou 10 iPhones mais pour 4000 devices sous iOS.



Donc laisser entendre que Apple respecte la vie privée de ses clients, c’est du foutage de tête.



Et c’est surement pareil chez les autres.



@Coket:



Pour W10 à voir si ça touchera aussi le mobile mais vu la PDM qu’ils ont, ils peuvent ne rien filer comme données ça ne changerai rien. <img data-src=" />


Le 12/04/2016 à 17h 30







coket a écrit :



“la société a tout intérêt à les colmater puisqu’elles peuvent être considérés comme 0-day, c’est-à-dire déjà exploitées”





C’est assez difficile à comprendre…



Si cette (ou ces) faille(s) existe(nt) et ont été utilisée(s) pour le déverrouillage de l’appareil en question, ne doit on pas la (les) considérer comme exploitée(s), et donc 0 day?

&nbsp;





Ben vu que c’est surement Apple qui a fourni la méthode au FBI… l’honneur est sauf pour tout le monde. <img data-src=" />









Exception a écrit :



La méthode, c’est de taper les 9999 nombres possibles du code PIN, et à un moment ça marche il suffit que les gars de FBI se relaient et c’est bon comme pour déverrouiller n’importe quel code.





pas besoin. Tu dumpes le phone, Tu le fais tourner dans autant de machines virtuelles IOS (probablement le produit magique utilisé) que nécessaire et les robot crament le million de tentatives (dans l’hypothès d’un code à 6 chiffres) J’ai faux ?



“on peut parler de victoire pour l’entreprise”&nbsp; Je crois pas. Son discours était : nous vous offrons des téléphones sûrs et à l’abri de mafia/hack/votre ex/… Et là pour une somme ridicule le phone est ouvert. Du coup leur message est tout cassé.


Du coup la grande question va être : finalement est-ce que l’on atrouvé un truc intéressant sur le phone&nbsp; ou pas. Si oui Apple va-t-il se faire taper sur les doigts ?


Le 12/04/2016 à 18h 01

Je suis peut-être stupide mais j’ai du mal à comprendre pourquoi une entreprise high tech abandonnerait vraiment l’accès aux informations de ses utilisateurs en proposant un chiffrement incassable à l’instant T. Tout le monde court après les infos des utilisateurs alors qu’est ce qui motive une compagnie à s’en couper réellement&nbsp;<img data-src=" />


Ah non je crois que tu confonds. Apple s’envoient toujours les datas des users hein :) Mieux encore certains datas passent dans leurs machines : photo stream , mail, icloud, la keychain etc. C’est juste qu’elle veut pas que les -autres- y aient accès.


Le 12/04/2016 à 18h 16

Ah j’ai eu peur!!



Merci pour l’info <img data-src=" />


Le 13/04/2016 à 07h 15

Ça manque un peu d’infos cette news.



D’après le Washington Post le FBI aurait payé un hacker grey-hat (et pas du tout Celebrite qui n’a pas aidé dans ce cas là) qui lui a fabriqué un truc hardware pour pouvoir essayer toutes les combinaisons de codes sans déclencher aucun système de sécurité (délais entre plusieurs essais et effacement des données après dix mauvais essais).

La Maison Blanche (et pas le FBI) va statuer s’il révèle le truc à Apple ou non (ça ne fonctionne que sur 5C sous iOS9.


Le 13/04/2016 à 07h 35







Soltek a écrit :



Ça manque un peu d’infos cette news.



D’après le Washington Post le FBI aurait payé un hacker grey-hat (et pas du tout Celebrite qui n’a pas aidé dans ce cas là) qui lui a fabriqué un truc hardware pour pouvoir essayer toutes les combinaisons de codes sans déclencher aucun système de sécurité (délais entre plusieurs essais et effacement des données après dix mauvais essais).

La Maison Blanche (et pas le FBI) va statuer s’il révèle le truc à Apple ou non (ça ne fonctionne que sur 5C sous iOS9.





C’était pas iOS 8 plutot ?



Le 13/04/2016 à 07h 41

Ils disent ça : “FBI Director James B. Comey has said that the solution works only on iPhone 5Cs running the iOS 9 operating system — what he calls a “narrow slice” of phones.” dans mon lien, ça m’a un peu étonné aussi.


Le 13/04/2016 à 07h 43

bizarre, depuis le début de l’affaire j’avais compris que c’était iOS8 et pas 9. M^mee la société qu’ils voulaient engager, disait que c’était bon pour 8 mais pas pour 9 <img data-src=" />


Le 13/04/2016 à 08h 42

iOS 8 ? iOS9 ?

Celebrite ? pas Celebrite ?

ca devient n’importe quoi ces news


Le 13/04/2016 à 08h 52

iOS9 offre le chiffrement de l’intégralité du tél, mais c’est seulement à partir de l’iphone 5S qu’ils ont rajouté une couche de sécurité hardware. Pour l’instant je ne crois pas que ça ai été facilement craqué.


jpaul Abonné
Le 13/04/2016 à 12h 39







Fyr a écrit :



pas besoin. Tu dumpes le phone, Tu le fais tourner dans autant de machines virtuelles IOS (probablement le produit magique utilisé) que nécessaire et les robot crament le million de tentatives (dans l’hypothès d’un code à 6 chiffres) J’ai faux ?



Aucune idée de comment ils ont fait avec le 5C mais avec le 5s et plus ce serait impossible.



Le 13/04/2016 à 16h 51

+1

Ca fait méchamment remplissage de quota de news à produire…


hellmut Abonné
Le 14/04/2016 à 08h 53

Pour cette histoire de chinois si tu as plus d’infos je suis preneur.<img data-src=" />


Mr.Nox Abonné
Le 14/04/2016 à 16h 53

C’est dit dans l’un des articles pour les abonnés.



J’avoue ne pas savoir filtrer les articles pour ne trouver que ceux dédiés aux abonnés, du coup je galère à chercher là.



EDIT :



https://www.nextinpact.com/news/99012-iphone-verrouille-torchon-brule-entre-appl…