Il est « pratiquement impossible » d'enquêter sur les téléphones actuels et d'y récupérer des données utilisables sans l'autorisation de leur propriétaire, rappelle un article de l'université d'Amsterdam. Ce qui s'avère souvent problématique dans le cadre des procédures judiciaires, les suspects n'étant guère enclins à donner accès à leur téléphone. Voire impossible lorsque les propriétaires sont décédés.

• Les preuves numériques seraient devenues « plus importantes » que l’ADN et les preuves physiques

En outre, avec la généralisation du chiffrement, les méthodes traditionnelles de récupération des données des téléphones ne permettent bien souvent d'obtenir que des données chiffrées. Les chercheurs et professionnels de l'inforensique éprouvent dès lors de grandes difficultés à rendre ces données chiffrées exploitables, explique Aya Fukami.

La chercheuse japonaise, qui vient d'y consacrer une thèse, reconnaît d'ailleurs que « c'est un processus qui prend beaucoup de temps et qui n'aboutit pas toujours à des preuves utilisables ». L’approche est évidemment très technique, mais cette publication permet surtout de voir que les travaux continuent, que des pistes existent (pour l’instant…) même si cela nécessite de plonger de plus en plus bas au niveau software et hardware.

• Inforensique : des enquêteurs débordés par les données

Pour surmonter ces difficultés, Aya Fukami a cherché à identifier des vulnérabilités matérielles dans les téléphones afin de contourner leurs mesures de sécurité, lui permettant d'extraire des données des téléphones d'une manière qui n'était pas possible auparavant.

Des techniques qu'expérimentent également les « cracks en rétro-ingénierie » de l'Institut de recherche criminelle de la Gendarmerie Nationale (IRCGN), comme nous l'avions déjà relevé. L'expertise de la gendarmerie est d'ailleurs reconnue à l'international depuis le démantèlement du cryptophone EncroChat.

• La « nouvelle arme » anti-cryptographie de la gendarmerie

« La méthode de chiffrement des téléphones EncroChat étant inviolable avec les moyens existants, nous nous sommes attachés à en trouver les vulnérabilités », avait alors expliqué l'un des 60 gendarmes impliqués : « Il nous a fallu chercher les failles sur toutes les parties du téléphone – le matériel le constituant, son système d’exploitation et ses applications –, afin d’extraire et d’exploiter les données avant qu’elles ne soient chiffrées. »

Plus récemment, le Centre de lutte contre les criminalités numériques (C3N) du Commandement de la gendarmerie dans le cyberespace (COMCYBERGEND) avait été sollicité par la police suédoise afin de démanteler le cryptophone Ghost, « parce que la gendarmerie nationale est identifiée comme un pôle d’excellence dans ce domaine, depuis le démantèlement d’EncroChat en 2020 ».

• La gendarmerie aurait mis « plus d’un an » à craquer le cryptophone Ghost

« Je pense qu'une approche de type hacker est bénéfique »

Problème, à chaque nouvelle génération de puces et/ou de téléphone il faut bien souvent recommencer… d'où l'intérêt de la recension d'Aya Fukami. En exploitant le mécanisme de sécurité mis en œuvre dans les systèmes de mémoire courants utilisés dans les smartphones les plus populaires, la chercheuse a par exemple pu accéder à des informations cachées pouvant être utilisées pour décrypter du contenu chiffré :

« Malgré la mise en œuvre de mesures d'atténuation de la sécurité dans les dispositifs de mémoire modernes, cette recherche met en évidence des vulnérabilités à la fois matérielles et logicielles. L'exploitation de ces faiblesses permet d'extraire plus efficacement des données médico-légales des appareils mobiles, en surmontant certains obstacles à la sécurité. »

« La police scientifique s'est traditionnellement concentrée sur l'extraction des données brutes des téléphones », explique Mme Fukami : « Je pense qu'une approche de type hacker est bénéfique dans ces situations ».

Elle plaide en faveur d'une recherche proactive dans le domaine de la criminalistique des systèmes de sécurité : « Ce qui constitue une avancée aujourd'hui sera dépassé dans un an. Il est donc important de continuer à réfléchir aux contre-mesures que nous pouvons mettre en place afin de garantir l'accessibilité des preuves critiques dans les contextes juridiques ».

On l’a vu encore récemment avec l’ajout dans iOS 18 d’une fonctionnalité de reboot automatique sans activité pendant trois jours, afin de mettre le smartphone dans un état plus sécurisé. C’est tout simple, mais cela fait tomber une partie des techniques actuelles, notamment celles de Cellebrite.

• Le redémarrage automatique des iPhone inactifs est bien une fonctionnalité d’iOS 18

Un potentiel de recherche inexploré, et de nouvelles opportunités

La thèse qu'elle vient de soutenir, intitulée « Effective Mobile Forensics Through Exploiting the Memory Security », avance qu' « il reste un potentiel de recherche inexploré dans le domaine des dispositifs de stockage de mémoire » : « En se concentrant sur les vulnérabilités de ces dispositifs de mémoire, il est possible d'explorer de nouvelles opportunités pour faire progresser les techniques de criminalistique mobile. ».

Aya Fukami est donc partie en quête des différents travaux de recherche publiés au fil des ans dans divers organes académiques sur ces questions, qu'il s'agisse d'extraction de données chiffrées, de contournement des mesures de sécurité ou d'identification de vulnérabilités, tant logicielles que matérielles.

Il y est question de mémoire flash NAND, d’eMMC (Embedded Multimedia Cards), de stockage Replay Protected Memory Block (RPMB), d'injection de fautes électromagnétiques (EMFI), d'attaque par canal auxiliaire (Side-channel attack ou SCA en anglais) ou encore de rétro-ingénierie de firmware. Les chercheurs ne peuvent pas se permettre de faire les difficiles, ils attaquent tous azimuts et essayent de récupérer ce qu’ils peuvent là où ils le peuvent.

Dans son analyse, la chercheuse relève qu'avec les couches de sécurité avancées des smartphones contemporains, les méthodes traditionnelles d'extraction de données, telles que les techniques de décollement des puces, ne donnent souvent pas de résultats significatifs. Mais, elle revient sur d’autres approches prometteuses. Nous ne reviendrons pas ici sur l’ensemble des détails (très techniques), consultables dans sa thèse.

Plusieurs couches de sécurité protègent les clés de déchiffrement

Aya Fukami souligne notamment que du fait des avancées technologiques de l'industrie des semi-conducteurs, une extraction de données efficace basée sur la mémoire « nécessite désormais une compréhension approfondie de l'architecture matérielle des technologies de mémoire et de leurs applications pratiques ».

De plus, le chiffrement par défaut des données sur les appareils mobiles fait que « plusieurs couches d'authentification de sécurité protègent les clés de déchiffrement nécessaires pour déchiffrer les données stockées dans la mémoire flash » :

« Par conséquent, les enquêteurs doivent procéder à une rétro-ingénierie approfondie pour trouver les éventuelles vulnérabilités qui permettent l'exécution d'un code arbitraire. Cette rétro-ingénierie nécessite souvent une double approche – à la fois matérielle et logicielle – adaptée à chaque modèle et à chaque version de logiciel ».

Les données stockées dans une mémoire flash NAND, quant à elles, « sont intrinsèquement instables » en raison de la nature de la technologie, « ce qui entraîne des erreurs de bits ». En outre, la méthode traditionnelle d'extraction physique des puces pour ensuite lire les données, qui consiste à appliquer de l'air chaud pour faire fondre la soudure, peut gravement endommager les données stockées.

Pour l'eMMC, qui est « la plus utilisée dans les appareils mobiles modernes », l'extraction des données brutes nécessite une rétro-ingénierie matérielle afin d'identifier les plages d'accès non standard. Elle relève ainsi que l'accès à la mémoire permet de récupérer les données quand bien même elles avaient été supprimées.

L'une de ses fonctions de sécurité, le bloc RPMB, est par ailleurs couramment utilisé dans les dispositifs de stockage modernes pour protéger les données contre les manipulations non autorisées. Mais, souligne la thésarde, sans authentification appropriée, les données contenues dans ce bloc restent inviolables, d'autant que les eMMC mettent en œuvre des fonctions sécurisées telles que « Secure Erase » ou « Sanitize » pour supprimer en toute sécurité les données stockées.

Aya Fukami relève néanmoins que les fonctions de sécurité susmentionnées « peuvent être exploitées pour faciliter l'analyse médico-légale des téléphones portables », tant par le biais du logiciel que du matériel, au point que « ces caractéristiques peuvent être compromises ». Elle détaille les pistes dans sa thèse.

En outre, la mise en œuvre de RPMB sur les appareils mobiles modernes « peut être exploitée par des techniques de rétro-ingénierie structurelle ou d'injection de fautes, ce qui crée des vulnérabilités à exploiter ». Ce type d'exploits nécessite, cela dit, une rétro-ingénierie poussée et des techniques sophistiquées pour être exécuté avec succès, note la thésarde.

Les données ne sont pas toutes effacées lors d'une réinitialisation à l'état d'usine

Évoquant des recherches futures, Aya Fukami précise que sa thèse ne s'est concentrée que sur la mémoire flash NAND et les eMMC. « Cependant, les technologies émergentes » telles que UFS (Universal Flash Storage) et NVM (Non-volatile memory) « sont en train de devenir les solutions de stockage préférées » des nouvelles générations de smartphones, ce qui en ferait un sujet de recherche intéressant pour l'avenir :

« Ces dispositifs intègrent également des implémentations RPMB. La compromission de l'intégrité des données RPMB pourrait permettre aux attaquants de modifier davantage les appareils mobiles, ce qui leur permettrait de prendre le contrôle du système cible. L'extension des attaques non invasives telles que l'injection de fautes aux appareils grand public représente une voie prometteuse pour une exploration future. ».

Aya Fukami, qui fut aussi experte en criminalistique numérique à l'Agence nationale de police japonaise, avait par ailleurs déjà remporté un Best Paper Award 2023 pour un article paru dans Forensic Science International : Digital Investigation, « Évaluation des données restantes dans les smartphones modernes après une réinitialisation d'usine ».

Elle y expliquait que, avec Android 11 et 12, « certaines parties des données chiffrées sont encore accessibles sous leur forme binaire, car toutes les données ne sont pas réinitialisées à l'état d'usine », et qu'elles peuvent donc être récupérées malgré la réinitialisation. Vu la fragmentation d’Android, il reste certainement des appareils avec ces vieilles versions, mais les modernes sont depuis longtemps sur des moutures plus modernes. La dernière en date est la 15 pour rappel.

Le jeu du chat et de la souris devient de plus en plus complexe

En outre, les différentes partitions « n'effacent pas les données créées pendant l'utilisation de l'appareil, à partir desquelles des informations sur l'utilisation de l'appareil peuvent être déduites ». En guise de conclusion, elle reconnaissait néanmoins que, « par rapport aux appareils plus anciens, il est devenu plus difficile d'extraire des données médico-légales pour les smartphones modernes ».

Quoi qu’il en soit, le jeu du chat et de la souris continue entre la recherche pour des besoins médico-légales sur l’accès aux données des smartphones et sur les protections mises en place par les fabricants. Les failles et techniques identifiées par les premiers sont rapidement bouchées par les seconds, soit de manière logicielle si c’est possible, soit matérielle avec de nouvelles technologies et/ou révisions. Ce qui ne fait que relancer le « potentiel de recherche inexploré » et les « nouvelles opportunités » évoquées par Aya Fukami.