Smartphones verrouillés : le FBI est loin d'en avoir fini

Smartphones verrouillés : le FBI est loin d’en avoir fini

Une question d'opportunités

Avatar de l'auteur

Vincent Hermann

Publié dansSociété numérique

05/04/2016
18
Smartphones verrouillés : le FBI est loin d'en avoir fini

Même si la principale guerre entre Apple et le FBI à pris fin, la bataille sous-jacente contre le chiffrement continue. Non seulement l’agence fédérale mène un autre front contre Google, mais la technique récemment utilisée sur un iPhone va servir dans d’autres affaires.

L’affaire de l’iPhone de San Bernardino a largement cristallisé les tensions qui régnaient entre les forces de l’ordre américaines et la Silicon Valley. Le FBI, en charge de l’affaire, cherchait à récupérer de précieuses informations dans le smartphone. Problème : son contenu était chiffré et Apple était incapable de donner la clé. Depuis iOS 8 en effet, le code de verrouillage, connu normalement du seul possesseur de l’appareil, participe à la création de la clé.

La bataille qui s’en est suivie était entièrement articulée sur l’All Writs Act, permettant à l’agence de réclamer de l’aide à une entreprise. Apple s’était opposée à l’ordonnance délivrée par le tribunal de Riverside, jugeant que non seulement la demande représentant une charge excessive, mais qu’il en résulterait des dégâts certains sur son image et donc son chiffre d’affaires. En outre, elle accusait le FBI de chercher à obtenir par les tribunaux ce qu’il n’avait pu avoir par le Congrès avec le rejet de la loi CALEA II.

Apple veut savoir la technique utilisée par le FBI

Plus que tout, Apple craignait en fait qu’un précédent soit établi. La décision aurait fait jurisprudence et aurait été répercutée sur toutes les autres affaires impliquant des appareils iOS chiffrés. Or, dans un retournement de situation, le FBI avait annoncé qu’un tiers était en mesure d’aider à déverrouiller l’iPhone. Quelques jours plus tard, la méthode était confirmée : le FBI n’avait plus besoin d’aide.

Depuis, Apple cherche à connaître les détails. Et pour cause : il existe très probablement une ou plusieurs failles de sécurité qui ont été exploitées. Comme indiqué régulièrement au sujet des activités de la NSA dans ce domaine, des brèches non signalées peuvent tout autant être trouvées par des pirates et exploitées contre les utilisateurs. Mais le FBI refuse (une inversion ironique des rôles), puisque d’autres affaires sont en cours.

Déjà deux autres affaires où la méthode pourrait servir

On savait ainsi que le seul État de New York avait environ 200 affaires impliquant des iPhone verrouillés. Si le FBI est en possession d’un outil capable de décrypter des données, il n’y a évidemment rien qui l’empêche d’intervenir dans des enquêtes bloquées. On sait ainsi que l’agence interviendra en Arkansas pour déverrouiller un iPhone et un iPod dans le cadre d’une enquête visant deux adolescents accusés d’avoir tué un couple. Le procès devait avoir lieu cette semaine, mais le juge l’a reporté au 27 juin pour laisser au FBI le temps de faire son travail.

Dans une autre affaire, cette fois à Brooklyn, c’est un iPhone 5s qui pose problème dans une affaire de trafic de drogue. Cette fois, le département américain de la Justice doit décider d’ici au 11 avril s’il continue à demander de l’aide à Apple, ou s’il se replie sur une solution visiblement fonctionnelle. Apple « profite » d’ailleurs de l’affaire pour essayer d’en savoir plus sur la fameuse méthode. Mais, comme le rappelle Reuters, le FBI n’a aucune obligation légale de révéler ce qu’il utilise.

Google est également concernée

C’est donc bien un nouveau chapitre qui s’ouvre dans une guerre qui risque d’être longue. Elle durera jusqu’à ce que l’épineuse question du curseur soit réglée : comment établir la limite entre respect de la vie privée et la sécurité ? Apple ne sera d’ailleurs pas la seule entreprise à être touchée, puisque l’on sait désormais que Google a reçu au moins neuf demandes similaires pour déverrouiller des appareils Android.

L’ACLU (American Civil Liberties Union) a en effet dévoilé en fin de semaine dernière des documents montrant ces demandes. Elles sont toutes basées sur l’All Writs Act, exactement comme dans le cas d’Apple. La crainte pour l’association est évidemment que le FBI puisse obtenir avec Google ce qu’elle n’a pu réussir à avoir via Apple. Le problème de jurisprudence serait alors exactement le même.

La fragmentation joue encore un rôle important

Il existe cependant une différence très nette entre Apple et Google : la fragmentation. Comme nous l’avions indiqué en novembre dernier, la firme de Mountain View peut réinitialiser les mots de passe à distance et déverrouiller les appareils dont la version d’Android est antérieure à la 5.0 et qui n’ont pas le chiffrement intégral actif. Cette méthode reste en l’état utilisable sur pratiquement les trois quarts des smartphones en circulation actuellement.

Google a toutefois réagi pour expliquer qu’aucune de ces demandes ne requérait le développement d’un outil spécifique pour percer les défenses de son système, comme cela avait été le cas avec Apple : « Nous examinons soigneusement les assignations et ordonnances des tribunaux afin d’être sûrs qu’ils respectent à la fois l’esprit et la lettre de la loi. Cependant, nous n’avons jamais reçu de demande comme celle faite à Apple de développer de nouveaux outils qui compromettraient activement la sécurité de nos produits. Nous nous opposerions avec force à une telle ordonnance ».

On notera que cette réponse faite par un porte-parole réaffirme au passage le soutien fait à Apple dans son opposition au FBI. Cependant, Google ne nie pas non plus être en capacité de déverrouiller une grande partie des smartphones Android dans le cadre des enquêtes et des procédures juridiques. D’ailleurs, si Apple peut arguer d’une impossibilité technique, son concurrent ne le peut pas.

18
Avatar de l'auteur

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Technique contre marketing

17:36 Soft 0
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

Q-Doliprane sur demande

16:10 HardScience 1
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

De qui ? Quand ? Comment ?

12:00 DroitSécu 10

Sommaire de l'article

Introduction

Apple veut savoir la technique utilisée par le FBI

Déjà deux autres affaires où la méthode pourrait servir

Google est également concernée

La fragmentation joue encore un rôle important

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 0
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 1
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 10

En ligne, les promos foireuses restent d’actualité

DroitWeb 12

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 25
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 8
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 6
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 68

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 22
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 19

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Poing Dev

Le poing Dev – Round 7

Next 94
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 6

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

#Flock a sa propre vision de l’inclusion

Flock 25
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

44
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Next 21
Logo de StreetPress

Pourquoi le site du média StreetPress a été momentanément inaccessible

Droit 21
Amazon re:Invent

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

IA 14
Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

Droit 6

19 associations européennes de consommateurs portent plainte contre Meta

DroitSocials 16

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

Station spatiale internationale 1998

Il y a 25 ans, l’assemblage de la Station spatiale internationale débutait

Science 2

Fusée Vega : Avio perd deux réservoirs et les retrouve… dans une décharge

Science 16

Drapeaux de l’Union européenne

RGPD : la Cour de justice de l‘UE précise les modalités des amendes

Droit 6

Amazon re:Invent

Les gênantes hallucinations et fuites d’information de Q, le chatbot d’Amazon

IA 3

Une table ronde de la réserve cyber de la gendarmerie consacrée aux cybermenaces pour le secteur agroalimentaire et les agriculteurs

Une exploitation agricole sur cinq victime d’une cyberattaque

ÉcoSécu 3

Commentaires (18)


odoc
Hier à 16h06






NXi a écrit :

D’ailleurs, si Apple peut arguer d’une impossibilité technique, son concurrent ne le peut pas.



Pas tout à fait non ?

Je veux dire, au delà d’Android 5, Google est de la même manière qu’Apple pour iOS 9 dans l’incapacité technique de déverrouiller le téléphone.

Pour iOS8, Apple pouvait techniquement le faire mais pour ça il fallait modifier le firmware pour faire autant de test que nécessaire sur la clé qui n’était que de 4 chiffres (en gro c’est vite fait). Pas compliquer pour Apple niveau technique mais très risqué au niveau légal/comm (jurisprudence toussa toussa).

Pour Google meme topo : jusqu’à Android 5 -> reset du pass. Après, impossible de faire quoique ce soit.


C’est lorsque le FBI demendera de l’aide à Google/Apple pour déchiffrer une tel sour iOS9/Android 6 qu’on va se marrer

Bref les 2 sont dans le même bateau.



Winderly Abonné
Hier à 16h13

“une inversion ironique des rôles”
<img data-src=" /> J’aime.


Clapitti
Hier à 16h16

Amha la phrase concerne les cas actuels/en cours pas la situation dans l’absolue.


Romaindu83
Hier à 16h23

Ce que je vois dans cette affaire, c’est que aucun système de verrouillage, aussi complexe soit-il, n’est infaillible.

Qu’un système de verrouillage soit sous licence ou libre de droit, il peut-être cassé. Cela devrait faire réfléchir ceux qui vantent de tels systèmes, au point presque leur assurer leur propre existence….


hellmut Abonné
Hier à 16h23

la différence c’est qu’apple, à partir d’une certaine version (la 9? je sais plus), utilise une puce spécifique pour la sécu et le chiffrement, et que donc il faudrait intervenir (physiquement) sur cette puce pour bypasser les limitations d’essais.
chez Android, si t’as accès au téléphone, tu peux lui faire bouffer n’importe quel firmware et exploser ces mêmes limitations.

il me semble que c’est ce dont veut parler l’article.


hellmut Abonné
Hier à 16h26

il me semble que personne n’a prétendu qu’un système de chiffrement comme celui d’Apple était inviolable. pas même Apple, d’ailleurs.
Apple prétendait que c’était illégitime de lui demandait de pondre des outils pour cracker ses propres solutions de sécu.
Lors des auditions au congrès, ils ont bien dit que le FBI avait évidemment toute liberté pour tenter de le faire lui-même ou à l’aide d’un tiers. juste pas Apple.<img data-src=" />


odoc
Hier à 16h39

j’avais pas vu ça comme ça en effet.


trekker92
Hier à 16h54

je vois très mal le fbi donner sa recette a apple, ce serait lui tirer une balle dans le pied


Jarodd Abonné
Hier à 17h18

Depuis Android 5 on peut chiffrer ses données ? Je ne trouve rien sur le mien <img data-src=" /> (récent, pas encore tout exploré)


GentooUser
Hier à 17h26






hellmut a écrit :

il me semble que personne n’a prétendu qu’un système de chiffrement comme celui d’Apple était inviolable. pas même Apple, d’ailleurs.
Apple prétendait que c’était illégitime de lui demandait de pondre des outils pour cracker ses propres solutions de sécu.
Lors des auditions au congrès, ils ont bien dit que le FBI avait évidemment toute liberté pour tenter de le faire lui-même ou à l’aide d’un tiers. juste pas Apple.<img data-src=" />


Rien n’empêche un constructeur Android de mettre une puce TPM, Linux gère ça très bien.

Quand à ma ROM LG, elle refuse carrément de chiffrer le téléphone s’il n’est protégé que par un simple code PIN (obligé d’activer le verrouillage par mot de passe). Ce qui règle le problème, car la nécessité d’un timer (iPhone 5) ou d’une puce TPM (iPhone6+) n’est dû qu’à la faiblesse du mot de passe de base (5 ou 6 chiffres)

Quand Apple, à leur place je pousserai déjà une MàJ qui remplace les certificats utilisés pour signer les MàJ,&nbsp; car si ça se trouve, c’est eux qui ont étés piratés.



spamator
Hier à 17h49

ils ont un ordinateur quantique en activité ?&nbsp;


Pr. Thibault
Hier à 19h12

“Apple s’était opposée à l’ordonnance délivrée par le tribunal de Riverside, jugeant que non seulement la demande représentant une charge excessive, mais qu’il en résulterait des dégâts certains sur son image et donc son chiffre d’affaires. En outre, elle accusait le FBI de chercher à obtenir par les tribunaux ce qu’il n’avait pu avoir par le Congrès avec le rejet de la loi CALEA II.”

Enfin, la voila, la vraie raison… Apple a super bien géré la comm’ de cette affaire : il s’est présenté comme le défenseur de la vie privée des utilisateurs, alors qu’en réalité Apple coopère régulièrement avec les autorités américaines, comme toutes les sociétés américaines, lorsqu’un juge demande à ce que les données d’un utilisateur stockées sur les serveurs d’Apple (par exemple iCloud) soient communiquées.

La seule chose qui dérange Apple dans cette histoire avec le FBI c’est que 1/ la solution demandée par le FBI aurait nécessité du temps, et donc de l’argent, de la part d’Apple, 2/ ça aurait nuit à son image de marque. Parce que sinon, vis-à-vis du droit au respect de la vie privée des utilisateurs, c’est pas plus choquant de faire ce que le FBI demandait à Apple dans le cadre de cette affaire, que de faire ce qu’Apple fait régulièrement, c’est-à-dire communiquer aux autorités les données d’utilisateurs stockées sur ses serveurs…


linkin623 Abonné
Hier à 19h33

Tu y es presque : Apple collabore lorsqu’il s’agit d’un juge, mais ne veut rien faire quand il s’agit d’une enquête par une administration US.

Et, dans un sens, c’est juste normal : ne pas collaborer avec le Justice, c’est de l’entrave. Envoyer le FBI sur les roses, c’est pour éviter qu’une administration se crée un précédent.

Après on est d’accord, Apple joue là son image de marque et ses futurs bénéfices, et ça me fait gerber que ça soit la ligne de défense pour protéger ses utilisateurs.


Sedna
Hier à 21h22

Même avant Android 5. Sous Jelly Bean, c’est possible en tout cas, si je ne dis pas de bêtise. Onglet Sécurité (ou similaire).


maxscript
Hier à 21h36






Winderly a écrit :

“une inversion ironique des rôles”
<img data-src=" /> J’aime.


+1



Ksass`Peuk
Hier à 08h00

La question de “en combien de temps” et “avec quels moyens techniques” a quand même son importance, si la réponse à l’une des deux devient démesurées, le pari est plutôt bien tenu.


LoganMcClay Abonné
Hier à 08h29

Concernant la sécurité sur Android, je vous invite à regarder du côté de ce blog en anglais qui détaille plutôt bien la sécurité jusqu’à la preview d’Android Lollipop :http://nelenkov.blogspot.fr/2014/10/revisiting-android-disk-encryption.html
Et pour Android Marshmallow (valable aussi sur Lollipop) le fonctionnement du keystore (hardware) :http://nelenkov.blogspot.fr/2015/06/keystore-redesign-in-android-m.html
C’est là-dessus que se base le chiffrement complet des partitions, à condition bien évidemment que le téléphone possède cette fonctionnalité…
TL;DR : C’est propre comme sécurité, même si techniquement les partitions peuvent être copiées plus facilement que sur des Apple, accéder aux données chiffrées reste très complexe.


bksamb
Hier à 09h51

Est ce que le FBI a trouvé des données susceptibles de l’aider dans la suite de son enquête ???&nbsp;