Connexion
Abonnez-vous

Des iPhone saisis par les forces de l’ordre redémarrent mystérieusement

Le 08 novembre à 08h48

404 Media a récupéré auprès d’une source un document des forces de l’ordre américaines mettant en garde les autorités contre un redémarrage imprévu des iPhone, pourtant stockés en toute sécurité pour des examens ultérieurs par des experts. Problème pour la police, cela renforce les défenses des smartphones contre les tentatives de déverrouillage et d’accès aux données.

« La raison exacte des reboots n’est pas claire », expliquent nos confrères. Néanmoins, les auteurs du document soumettent « l’hypothèse qu’Apple pourrait avoir introduit une nouvelle fonctionnalité de sécurité dans iOS 18 qui indique aux iPhone à proximité de redémarrer s’ils ont été déconnectés d’un réseau cellulaire pendant un certain temps ».

Problème pour les forces de l’ordre : après un redémarrage, « les iPhone sont généralement plus sécurisés contre les outils qui visent à craquer le mot de passe du téléphone et à prendre des données à partir de celui-ci ». Nous en parlions cet été avec les outils de Cellebrite.

Un terminal Cellebrite

Le laboratoire à l’origine du document explique avoir des iPhone en état AFU ou After First Unlock (après que son propriétaire l’a déverrouillé au moins une fois), mais « quelque chose a provoqué le redémarrage des appareils depuis leur arrivée et ils ont perdu l’état AFU ». Nos confrères de 404 Media précisent que cela inclurait des iPhone en mode avion, et même un autre « qui était à l’intérieur d’une cage de Faraday ».

Toujours selon le document consulté par nos confrères, et confirmé par une seconde source, trois iPhone avec iOS 18 ont été ajoutés dans le laboratoire début octobre. L’hypothèse officielle serait la suivante :

« Les iPhone avec iOS 18.0 apportés au laboratoire, si les conditions étaient réunies, communiquaient avec les autres iPhone allumés dans le coffre-fort et dans un état AFU. Cette communication a envoyé un signal aux appareils pour qu'ils redémarrent après un certain temps écoulé sans activité ou depuis qu'ils étaient hors réseau ».

Selon les experts judiciaires, cette « fonctionnalité » pourrait aussi être latente sur les iPhone des employés et pourrait donc se déclencher s’ils ont leur téléphone à proximité. Bref, le document recommande aux laboratoires d’isoler les iPhone en état AFU pour ne pas prendre de risque.

Le 08 novembre à 08h48

Commentaires (33)

votre avatar
De toute façon avec les fonctions de localisation, les possibilités d'utiliser les "clés" de voiture sans batterie et le système qui permet à Apple d'actualiser l'OS sans le sortir de la boîte, on sait déjà plutôt bien que le téléphone n'est en fait pas du tout éteint...

Mais ça reste étonnant d'identifier un "vrai boot"
votre avatar
C'est un peu différent, en réalité, sur Android comme iOS, il y a deux systèmes d'exploitations : le vrai système principal, et un système secondaire minuscule. Quand on éteint le téléphone, on passe en réalité du principal au secondaire. Mais ça n'a pas vraiment de rapport ici.

Ici, ce qu'il se passe c'est que les téléphones (encore une fois iOS comme Android c'est pareil) sont chiffrés. La clé de chiffrement est stockée dans une puce sécurisée qui, en très gros, échange cette clé en échange du code utilisateur.
Ainsi, quand tu démarre ton téléphone, au premier déverrouillage où tu tape ton code, le système fait cet échange et stocke la clé de chiffrement en RAM, puis la garde en mémoire même quand tu reverrouille le téléphone (parce que si il purgeait la clé de chiffrement à chaque verrouillage, il serait impossible d'avoir des fonctionnalités en arrière-plan, comme des notifications, c'est exactement pour ça que les notifications ne marchent pas avant que tu déverrouille pour la première fois ton téléphone après un redémarrage, c'est facile à tester).

C'est pour ça que c'est beaucoup plus simple de trouver une faille de sécurité sur un téléphone qui est allumé et a déjà été déverrouillé une fois (AFU, After First Unlock) que sur un téléphone fraîchement démarré (BFU, Before First Unlock) : la clé de déchiffrement est en mémoire et les données sont lisibles.

Certains téléphones sont aussi vulnérables à Cellebrite même en mode BFU parce qu'ils ont une puce de sécurité (celle qui échange la clé contre le code) dans laquelle des failles ont été trouvées.
Les puces des iPhones sont extrêmement résistantes et Cellebrite ne supporte que les très vieux iPhones en BFU. Chez Android, c'est les Google Pixel qui ont la meilleure puce.

À noter que lorsque le téléphone est éteint, ou dans le "second système d'exploitation", la clé de chiffrement est déchargée et les données chiffrées sont illisibles. Pour les tickets de transport sur Samsung par exemple, ils sont stockées dans une puce spéciale, comme ça ils sont accessibles même quand le disque principal est illisible.

- N.B. : C'est extrêmement vulgarisé
votre avatar
La clé n'est pas délivrée automatiquement via un simili secure boot ? Je croyais qu'il n'y avait pas besoin du mot de passe pour déchiffrer mais que le smartphone ne delivrait la clé que si le processus de boot n'avait pas ete compromis
votre avatar
Non, elle est bien récupérée après l'entrée du mot de passe, mais effectivement le secure boot joue un rôle et il faut la combinaison secure boot OK + mot de passe OK pour récupérer la clé
votre avatar
"le vrai système principal, et un système secondaire minuscule"

Comme dans le cœur de TOUS les CPUs Intel avec le mini OS Minix...(le prof, concepteur de l'OS avait gueulé quand même auprès d'Intel, car il l'avait conçu avant tout comme un exemple d'illustration des concepts de base d'un OS pour ses élèves et l'avait posté en opensource bien sûr. Il s'est aussi pris la tête grave avec un certain Linus T. ..bref...hors sujet)

Le Intel Minix_embedded_OS@CPU possède des droits supérieurs à ceux d'un Ring 0 d'un Kernel d'OS.

Aucune vraie documentation complète dispo, Personne ne sait vraiment e qu'il fait et ce qu'il y a dedans, mais par contre il fonctionne 24h/24h, 7j/7j ( et avec accès réseau bien sûr pour le management...) et est indétectable pour l'utilisateur.

Le seul et unique moyen de l'arrêter c'est de physiquement couper l'alimentation électrique d'un PC.

Intel Active Management Engine

"La vérité est ailleurs"
:fumer:
votre avatar
Sur un serveur avec ipmi/iDRAC ou autre et une interface de management, on imagine bien que c'est le Minix qui le contrôle. Mais sur une carte mère sans interface de management, comment le Minix fait pour accéder au réseau sans interférer avec l'OS normal ?
votre avatar
Et bien de ce que j'ai pu lire, L'Intel Management Active Système qui tourne sur du Minix est un micro système dans le CPU qui possède les privilèges les plus élevés, et même l'OS n'a aucune connaissance de l'existence de ce système, totalement indétectable au niveau software par un OS.

Ce système fonctionne apparemment même PC éteint, tant que le PC est branché et accès au NIC.

Intel n'a apparemment jamais voulu donner les caractéristiques détaillées de ce embedded-system.

Intel Active Management System

Ça ne renforce pas trop la confiance...
:fumer:
votre avatar
J'apprends l'existence de ce système, je n'en avais jamais entendu parler :eeek2: Par contre ce ne serait présent que sur les Intel Core vPro et Xeon et pas dans les CPU "grand public", quelqu'un peut confirmer ?

EDIT : apparemment le ME serait présent sur tous les CPU Intel, mais l'AMT (qui repose sur le ME) uniquement sur les Xeon et VPro ?
votre avatar
Quelques phrases de la fiche Wiki de l'Intel Management Engine (la base, le 1er niveau en effet comme tu l'as bien précisé ) font un peu peur.... ou du moins laisse assez pensif :

- "le Management Engine lui-même est intégré à TOUS les chipsets Intel depuis 2008"

- "Ce système fonctionne en permanence tant que la carte mère est alimentée en énergie, même PC éteint"

- "il n'existe aucun moyen officiel et documenté de désactiver le Management Engine"

- "Son fonctionnement exact est en grande partie non documenté et son code est obscurci à l'aide de tables de Huffman confidentielles stockées directement dans le matériel, de sorte que le micrologiciel ne contient pas les informations nécessaires pour décoder son contenu"

- "L'Electronic Frontier Foundation et certains chercheurs en sécurité ont exprimé leur inquiétude quant au fait que L'Intel Management Engine soit en fait une backdoor"

AMD a (du? ) fait pareil 5 ans plus tard en 2013...

Pas une petite odeur de NSA ici ?
:fumer:
votre avatar
"encore une fois iOS comme Android c'est pareil"

"La clé de chiffrement est stockée dans une puce sécurisée"

Jamais entendu parlé de téléphones sous Android, à part peut-être le système Knox de Samsung (Knox...James Bond... GoldFinger....Pussy Galore... je laisse chercher) qui aurait un hardware dédié.

Pour mon Xiaomi, en tout cas, jamais entendu parlé de quoi que soit...

Et puis c'est un peu normal aussi, vu que c'est du matériel chinois, alors si un Xiaomi ou un Huawei (qui lui apparemment customise ses antennes relais pour l'export) et bien si ceux là ils commencent à mettre du matériel sécurisé contre la LECTURE des données qui transitent, le PCC va sûrement leur donner un GROS coup de règle sur les doigts...
:fumer:
votre avatar
Sauf erreur, c'est plus ou moins la norme maintenant. Trust Zone sur les SoC Qualcomm, par exemple, ou l'enclave sécurisée des Pixel, dont le nom m'échappe. Je crois même me souvenir que les Kirin (SoC utilisés dans les appareils Huawei) ont aussi leur enclave sécurisée. Plus ou moins sécurisée, je devrais dire, selon les failles présentes ou non...
votre avatar
Et merci pour l'info et mea culpa.
:yes::incline::kimouss:

Tu vois, je n'en avais jamais entendu parler jusqu'à présent de la TrustZone de Qualcomm (je viens de finir de lire les pages Wiki) et pourtant je consulte Next(inpact) tous les jours depuis 10 ans.

Sans doute que Qualcomm a fait moins de pub qu' un Apple avec sa T2 ou bien parce que chez Apple c'est une puce à part dédiée sur le PCB... Donc plus visible et plus de visibilité pour le montrer et en parler aux médias alors que quelques millions de transistors en plus dans une puce qui en a déjà plusieurs milliards...plus difficile à visualiser et montrer...

J'en apprends un peu plus tous les jours :D
:fumer:
votre avatar
Les puces Titan pour les Pixels sont un bon exemple d'enclave sécurisée matérielle.

Cf. https://www.androidauthority.com/titan-m2-google-3261547/
votre avatar
Merci, :yes::smack:

Pareil, je ne connaissais pas (jamais eu de Pixel non plus)

Et à chaque nouvelle description du dernier Snapdragon qui va sortir, de toutes les caractéristiques listées, jamais vu une seule ligne qui parlait d'enclave sécurisée dans leur SoC dans un article ici ou ni ailleurs d'ailleurs...
:fumer:
votre avatar
Merci pour ces explications.
votre avatar
Ici, le problème, c'est que les iPhone sont bien allumés et dans un état dans lequel la sécurité est faible (l'état AFU) mais qu'ils rebootent sans raison apparente, et se remette dans un état dans lequel la sécurité est maximale. Ça bloque l'accès aux données qui était précédemment relativement facilement accessible.

C'est un peu chiant pour des pièces saisies qui aurait pu servir aux enquêtes.
votre avatar
Le soucis c'est que la police utilise des méthodes de piratage, et en général on évite de laisser des failles de sécurité non corrigées parce que "ça pourrait servir à la police"... Oui, mais aussi à d'autres personnes que la police.

Il existe d'autres méthodes plus respectueuses des droits et moins "limite" niveau sécurité que de saisir le téléphone et tenter de le pirater (un peu à la manière d'une perquisition, la personne concernée est présente et assiste à la "visite" du téléphone par la police, mais ne peut pas s'y opposer, le tout soumis à un accord d'une autorité judiciaire)
votre avatar
Si l'appareil a été retrouvé ou que la personne propriétaire n'est pas disposée, c'est plus difficile d'obtenir la clé de déverrouillage par ce moyen par contre.
votre avatar
"actualiser l'OS sans le sortir de la boîte"
Là j'avoue avoir été assez sur le :bocul: quand j'ai appris ça...

Je me demande si c'est un ingé Apple tout seul qui y a pensé, et si ça avait dit durant une réunion Brainstorming et tous les autres ingé autour de la table ont commencé à bien se foutre de sa gueul...

Mais non, ça c'est fait !
:incline:

Après, ça doit potentiellement entraîner plus de "surface d'attaque" pour des gens malveillants..., certains qui vont essayer de chercher à exploiter cette fonctionnalité, fonctionnalité avant tout créée pour faciliter la vie des gens...
(je parle au subjonctif ici...mais dès qu'il y a la moindre occasion de trouver une faille/faiblesse/erreur en face, la nature humaine c'est bien quand même de l'exploiter personnellement pour son propre profit, non ?)

Bref, bien triste tout ça...
:fumer:
votre avatar
4% de batterie donc je vais te laisser chercher. De mémoire y'a déjà eu des exploits, avec articles sur le sujet ici. En 2023 ou 2024 je dirais.
votre avatar
En fait pas forcément de rapport avec le truc de mise à jour, ou du moins j'ai pas trouvé en vitesse : arstechnica.com Ars Technica
votre avatar
Je dirais que la meilleure solution est donc de programmer un reboot journalier de son téléphone au cas où il serait volé ou saisi 😂(cela permet de verrouiller si il est entre des mauvaises mains).
votre avatar
Comme le mentionne KMD55, c'est exactement ce que propose GrapheneOS, un OS Android orienté sécurité :

https://grapheneos.org/features#auto-reboot
votre avatar
Ça ressemble fort à cette fonctionnalité déjà existante chez une partie de la concurrence :
https://grapheneos.org/features#auto-reboot
votre avatar
J'ai d'abord pensé à une simple fonctionnalité qui redémarre automatiquement le téléphone s'il n'a pas été débloqué au bout d'un certain temps (comme ça existe sur GrapheneOS).
Mais ça ne serait pas un grand mystère si c'était juste ça...
(grillé par mon voisin du dessus :'D)
votre avatar
"Le Glaive contre le Bouclier"

Une histoire (ou Histoire ?) qui date l' Antiquité (au moins) et qui n'est pas prêt de s'arrêter..
:roll::fumer:
votre avatar
On peut l’implémenter sur iPhone de façon utilisateur ou pas? Ça m'intéresse.
votre avatar
Tu peux aller dans l’appli raccourcis / shortcuts:
Créer un raccourci : redémarrer l’appareil.
Créer une automatisation exécutée seule sans avertissement tous les jours : exécuter le raccourci.
votre avatar
J'essaye, merci
votre avatar
C'est une mesure de sécurité inventée par Microsoft: s'il ne se passe rien pendant 49.7 jours, ca reboot.

(les vieux savent)
votre avatar
Oui mais le 64 bits l'a rendue moins efficace. (Sauf erreur, Windows ne plantait pas)
votre avatar
Quand on appuie sur Power + Volume Up d'un iPhone, ça affiche le menu "Eteindre"... Mais ça force également la saisie du code au lieu de TouchID/FaceID. Est-ce qu'il s'agit d'un vrai BFU ?
votre avatar
Pas totalement, dans le sens où la clé est encore en mémoire (voir mon commentaire #1.1)
Cependant, en plus de bloquer TouchID/FaceID, ça bloque aussi et surtout le port USB/Lightning (qui n'est plus utilisable que pour recharger le téléphone, pas de transfert de données) jusqu'à ce que le code soit tapé. Donc oui, c'est une bonne sécurité !

Des iPhone saisis par les forces de l’ordre redémarrent mystérieusement

Fermer