Connexion
Abonnez-vous

Google peut déverrouiller à distance un terminal Android sans chiffrement intégral

Et ce n'est pas une surprise

Google peut déverrouiller à distance un terminal Android sans chiffrement intégral

Le 24 novembre 2015 à 13h01

Google a la capacité de déverrouiller à distance des smartphones Android tant que le chiffrement intégral n’a pas été activé. Bien que ce dernier soit disponible à partir d’Android 5.0, peu de smartphones l’utilisent réellement. Comme l’indiquent des documents issus du bureau du procureur de New York, l’entreprise est donc en mesure d’obéir à un ordre du tribunal.

Alors que les débats sur le chiffrement sont très intenses, un document du bureau du procureur de New York permet d’en apprendre plus sur les mesures qui peuvent être prises quand les circonstances l’exigent. Repéré par The New Web, il montre que Google peut tout à fait déverrouiller à distance un smartphone Android tant que le chiffrement intégral n’est pas activé. Un constat qui rappelle immédiatement l’opposition d’Apple sur ce même terrain, quand bien même la société de Cupertino n’aurait au final pas vraiment le choix.

Les trois quarts des appareils Android ont une version antérieure à la 5.0

Le chiffrement intégral d’Android ne se retrouve qu’à partir de la version 5.0 du système mobile. Comme indiqué l’année dernière, cette mouture devait initialement marquer un tournant : tout nouvel appareil bâti sur Android 5.0 aurait normalement dû avoir ce chiffrement actif par défaut. Une politique qui avait été modifiée en cours de route, sans que Google explique pourquoi. Des tests menés par certains confrères montraient cependant qu’en fonction des modèles, l’impact sur les performances pouvait être important.

De fait, le déverrouillage distant peut déjà fonctionner sur tous les terminaux ayant une version antérieure à la 5.0, soit 74,1 % du parc actuel. Si l’on y ajoute tous les appareils qui ont la bonne version, mais sans chiffrement activé (une manipulation à réaliser soi-même, sauf sur les derniers Nexus), la proportion grimpe sans doute nettement plus haut, mais sans que l’on sache jusqu'où exactement.

« Ce processus peut être réalisé par Google à distance »

Le document est important, mais pas nécessairement surprenant. On sait que les forces de l’ordre rencontrent des difficultés à mener certaines enquêtes à cause du chiffrement, un point abordé d’ailleurs par Bernard Cazeneuve en France qui veut doter la police et la gendarmerie de moyens supplémentaires. Il existe un curseur difficile à positionner entre respect de la vie privée et sécurité. Le problème actuel est qu’un mandat délivré par un juge peut fonctionner pour une perquisition à domicile par exemple, mais n’est pas forcément efficace pour récupérer des données dans un appareil mobile. D’où les très nombreux débats autour du chiffrement et le point exposé récemment par le FBI.

Le document du bureau du procureur est en tout cas très clair : « La police scientifique est capable de contourner les mots de passe sur certains des appareils en utilisant plusieurs techniques. Pour d’autres types d’appareils Android, Google peut réinitialiser les mots de passe lorsqu’on lui présente un mandat de recherche et un ordre lui intimant d’aider les forces de l’ordre à extraire les données. Ce processus peut être réalisé par Google à distance et permet à la police scientifique d’examiner le contenu d’un appareil ».

« Apple et Google ne sont pas responsables de la sécurité publique »

Par ailleurs, le document propose quelques phrases particulièrement éclairantes sur l’avis de la justice sur cette thématique : « La décision d’Apple et Google d’activer le chiffrement intégral par défaut sur les smartphones signifie que les représentants des forces de l’ordre ne peuvent plus accéder aux preuves criminelles stockées dans les smartphones, même quand ils disposent d’un mandat de recherche délivré par un juge neutre. Apple et Google ne sont pas responsables de la sécurité publique. C’est le travail des forces de l’ordre ».

Le document fait le point sur la sécurité actuelle et propose d’établir une solution de compromis : qu’Apple et Google puissent, via un mandat, toujours récupérer les données enregistrées localement dans un smartphone. Même si le bureau du procureur de New York indique qu’il ne souhaite « pas de porte dérobée pour le gouvernement », une telle volonté ne peut s’appliquer que de deux manières : soit les constructeurs disposent des clés (ce qui n’est pas le cas actuellement), soit il faut un moyen de contournement des protections, donc une porte dérobée. Dans le document, il est demandé aux constructeurs de travailler ensemble à une solution pour que les forces de l’ordre fassent leur travail.

La situation est donc complexe, puisque dans le sillage des révélations d’Edward Snowden, la sécurité et le respect de la vie privée sont devenus de vrais arguments marketing, ne serait-ce que pour compenser la crise de sécurité qui a suivi.

Commentaires (32)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Le soucis D’avoir les clefs c’est qu’une fuite desdites clefs compromet tout.




Et vu que les donnés personnelles des personnes travaillant pour le compte du gouv ont fuité, on peut se dire que ces clefs ont toute chance de faire de meme.    





L’accès complet a distance c’est de toute manière un danger.

Un accès physique obligatoire serais déja plus sécurisant. (mais non parfait )

votre avatar

Ce qui nous amène à la question simple: qu’existe-t-il d’indépendant pour chiffrer Android ou autre OS mobile ?

chiffrer les données c’est bien, mais insuffisant

votre avatar

J’ai un OxygenOS chiffré intégralement. Je devrais donc être hors de porté de ce système ?

Une copie de ma clef privé n’a pas été envoyé sur un obscur serveur de google j’espère …



On a moins la main sur la méthode de chiffrement et sur la solidité du chiffrement sur un téléphone :/

votre avatar

De toute manière en France,  refuser de divulguer la clé de chiffrement d’un outil « susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit » est passible de trois ans d’emprisonnement et 45 000 euros d’amende :legifrance.gouv.fr République Française



Par contre cela ne s’applique pas pour les journalistes, des potes photographe avec carte de presse ont eut leur ordi perquisitionné ,  disque dur entièrement chiffré avec LUKS, ils n’ont pas donné les mdp et n’ont pas eut de souci.



Pour les particulier, cela sert surtout lors de procédure abusive, genre en garde a vue pour disons dégrissement (choppé complètement bourré dans la rue), la police n’à pas le droit de déverrouiller ton téléphone et peut de chance de pouvoir utilisé la loi pour te demandé ton code pour te prendre tous tes contacts. Par contre si tu à commis un délits et qu’il prouve qu’avec le mot de passe de ton portable il peuvent avoir acces a des donné qui peuvent t’incriminé alors la tu est obligé (sauf si bien sur ce que tu a fait te fait risquer plus que les trois ans de prisons mais là c’est une autre histoire …)

votre avatar

Une raison de plus d’utiliser FirefoxOS si possible.

votre avatar

Ben non, ils précisent bien que si le chiffrement intégral est activé Google ne peut rien faire.



Ceci étant dit, si tu veux plus de sécurité il faut se plonger dans l’AOSP pour modifier la partie chiffrement.

votre avatar

FirefoxOS est quand même loin d’être apte à remplacer Android.

Autrement dit oui c’est une raison de plus de l’utiliser, mais sur une liste qui ne fait pas le poids par rapport aux raisons de lui préférer Android.

votre avatar

Parce que Firefox OS ne gère pas le chiffrement du tout ? <img data-src=" />

votre avatar

Alors finalement , je m’interroge … Si il existe une méthode officielle par Google pour déverrouiller les terminaux à distance , cette méthode sera aussi forcement un jour accessible pour les Hackers ? Ce n’est qu’une question de temps et de moyens… Doit on s’attendre à voir nos portable se déverrouiller tout seuls à distance et nos donnés piratés ? A méditer …

votre avatar

Il manque au moins un mot ici :



“Mais le bureau du procureur de New York qu’il ne souhaite «&nbsp;pas de porte dérobée&nbsp;pour le gouvernement&nbsp;», une telle volonté ne peut s’appliquer que de deux manières&nbsp;:”

votre avatar







ErGo_404 a écrit :



FirefoxOS est quand même loin d’être apte à remplacer Android.

Autrement dit oui c’est une raison de plus de l’utiliser, mais sur une liste qui ne fait pas le poids par rapport aux raisons de lui préférer Android.





C’est sur que si personne ne l’utilise aussi…


votre avatar







atomusk a écrit :



Parce que Firefox OS ne gère pas le chiffrement du tout ? <img data-src=" />





Ben, ça me parait kif-kif non ? <img data-src=" />


votre avatar

C’est toujours pareil quand on lance un OS, hein, mais on ne va pas se forcer à utiliser toutes les distributions mineures juste pour qu’elles vivent.

votre avatar

Et pour déclencher les MAJ à distance, c’est pas possible?







<img data-src=" /><img data-src=" /><img data-src=" />

votre avatar

”… tant que le chiffrement intégral n’a pas été activé. Bien que ce dernier soit disponible à partir d’Android 5.0… “

Kitkat le permettait déjà, il me semble. En tout cas je l’avais activé sur un Xperia Z, avant qu’il ne passe en 5.0.

votre avatar







ErGo_404 a écrit :



C’est toujours pareil quand on lance un OS, hein, mais on ne va pas se forcer à utiliser toutes les distributions mineures juste pour qu’elles vivent.





Qui parle de te forcer ?


votre avatar
votre avatar







DotNerk a écrit :



Au hasard <img data-src=" />





<img data-src=" /> pas plus.


votre avatar

<img data-src=" />

T’es pas cool, je l’aurais placé un ‘dredi tu aurais mis au moins 4 (j’ai quand même fait un copier-coller <img data-src=" />) <img data-src=" />

votre avatar

Personne ne parle de forcer qui que ce soit !



Mais Firefox OS est mort né pour moi, il vivotera peut être pour les smartphones bas de gamme parce qu’il représente une alternative gratuite et probablement beaucoup moins contraignante qu’Android, mais il finira tôt ou tard par être mis de côté. Je pense que les développeurs de Firefox perdent un peu leur temps sur ce projet, même si l’intention de base était louable.



Après ce n’est que mon avis …

votre avatar

Valable aussi si on tourne sous cyanogenmod ?

votre avatar

Os patriote…

votre avatar

La question n’est pas ‘si … ?’ mais ‘quand … ?’.

Et la réponse est probablement : “c’est déjà fait”.

votre avatar

Je disconviens respectueusement. Il existe un principe, appelé “Droit de conserver le silence et de ne pas participer à sa propre incrimination” reconnu à la fois par la Convention Européenne des Droits de l’Homme (Art 6 § 1), ainsi que plus précisément par le Pacte International relatif aux Droits Civils et Politiques (Art. 14). Ce principe est reconnu de manière constante par la CEDH et la CJCE.



Comme les engagements internationaux de la France ont valeur supérieure à la loi nationale selon notre hiérarchie des normes, je doute fortement qu’on puisse t’imposer de divulguer un quelconque de tes mots de passe. Arguant que cela constituerait une auto-incrimination.

votre avatar

Perso ça me paraît normal qu’en cas de suspicion sérieuse, un juge puisse exiger l’accès à nos données sous peine d’entrave à la justice ou autre.

Si refuser l’accès à son téléphone ou à ses données est assimilé à de l’auto-incrimination, ça revient à dire que les données contiennent justement de quoi incriminer.

&nbsp;

votre avatar

Eh bien justement non, un juge ne peut pas l’exiger, pour les raisons légales précisées au dessus.&nbsp;&nbsp;Et c’est fort heureux : le cas contraire reviendrait à dire qu’on te demande de prouver ton innocence, et donc par conséquent que tu es présumé coupable.



De dire que tes données contiennent de quoi t’incriminer ne peut pas servir de base à une quelconque condamnation, vu que les données en question ne sont pas connues, et qu’on ne peut pas te condamner uniquement sur la base d’une supposition, même forte. Ou alors, tu peux tout simplement garder le silence, et ne rien dire du tout, si tu préfères.&nbsp; &nbsp;

Le fait de conserver le silence n’est aucunement constitutif d’une entrave à l’exercice la justice, et c’est même heureusement une des bases de notre système de droit actuel. Ces dispositions ne concernent pour leur grande majorité l’entrave du fait de tiers, à l’exception notable du faux témoignage (434-13 du code pénal).



Ce refus serait tout au plus une circonstance aggravante (132-79 du code pénal), à la condition double que tu sois condamné, et que le chiffrement en question ait été utilisé pour préparer ou commettre un crime ou un délit.

votre avatar

Et Microsoft dans tout ça ?

votre avatar







FDN a écrit :



Et Microsoft dans tout ça ?



J’ai cliqué à ta place sur le lien de l’actu,

la seule mention de MS dans le document est

“Many companies offer cloud storage, including Apple, Google, Microsoft, Dropbox, Box, and others”


votre avatar

Pas faux.

Je pensais à un mandat de perquisition, mais si on peut perquisitionner, on ne peut pas demander la clé pour entrer. Tu fouilles ce que tu peux pour trouver des preuves. Ce à quoi on n’accède pas, on peut pas matériellement pas fouiller.

Oui, j’adhère à ce que tu dis.

votre avatar

“Le chiffrement intégral d’Android ne se retrouve qu’à partir de la version 5.0”

On peut chiffrer les partitions /data et /sdcard depuis Android 3.

Qu’est-ce que vous appelez chiffrement intégral dans Android 5 ?

votre avatar

Full disk encryption est bien dispo depuis Android 3.

Donc y a pas 74% des appareils vulnérables mais 4%, tout le 2eme paragraphe est faux !

votre avatar

Merci ! <img data-src=" />

Google peut déverrouiller à distance un terminal Android sans chiffrement intégral

  • Les trois quarts des appareils Android ont une version antérieure à la 5.0

  • « Ce processus peut être réalisé par Google à distance »

  • « Apple et Google ne sont pas responsables de la sécurité publique »

Fermer