Moxie Marlinspike, créateur de la messagerie chiffrée Signal, est tombé récemment sur une sacoche abandonnée appartenant à Cellebrite.
Elle contenait toutes sortes de câbles ainsi que les logiciels fournis par la société israélienne, spécialisée dans la récupération d’informations dans les appareils mobiles. Beaucoup ont pensé pendant longtemps qu’elle avait fourni au FBI la fameuse faille ayant permis de récupérer les données dans l’iPhone de San Bernardino.
Les deux principaux logiciels sont UFED et Physical Analyzer, tous deux pour Windows. Le premier est spécialisé dans le « cambriolage » et peut passer outre un certain nombre de verrous et de chiffrements, tandis que le deuxième collecte des évènements. Les deux analysent des données considérées comme non fiables.
Partant de là, Marlinspinke s’attendait à ce que les deux logiciels soient eux-mêmes blindés contre les tentatives d’intrusion. Il n’en est rien : « Nous avons été surpris que très peu d’attention avait été portée aux propres logiciels de sécurité de Cellebrite », indique le chercheur.
Il manquait ainsi de nombreuses défenses, notamment la réduction des risques d’exploitation, classique dans ce domaine d’activité, pavant la voie à de nombreuses opportunités.
La présence de FFmpeg est un cas emblématique. Le logiciel est utilisé pour convertir rapidement des sources audio et vidéo en des formats spécifiques. Surprise, la version utilisée a presque dix ans et n’inclut aucun des correctifs de sécurité (une centaine) sortis depuis 2012.
Marlinspike a notamment une vidéo où l’on peut voir UFED analyser un code spécialement conçu et tomber dans le panneau. Le créateur de Signal a réussi à lui faire afficher simplement une simple fenêtre de message pour les besoins de la démonstration, mais il y a selon lui aucune limite à ce qu’il est possible de lui faire faire.
Il a également trouvé plusieurs paquets MSI extraits a priori de l’installeur iTunes pour Windows, lui faisant se demander s’il ne s’agit pas d’une violation de la licence Apple.
La crédibilité de Cellebrite en prend un coup, mais il reste des zones d’ombre dans le rapport de Marlinspike. Il dit par exemple avoir trouvé la sacoche par terre lors d’une balade. Il évoque une « incroyable coïncidence ». D’autant plus incroyable que le fait survient peu de temps après l’annonce de Cellebrite sur la prise en charge de Signal dans ses outils pour l’extraction de données.
Marlinspike propose d'ailleurs un marché : « Nous souhaitons bien sûr révéler de manière responsable les failles spécifiques que nous connaissons à Cellebrite, s’ils font la même chose avec celles qu’ils utilisent pour leur extraction physique et autres services à leurs éditeurs respectifs, maintenant et dans le futur ».
Interrogée par Ars Technica, la société israélienne a simplement indiqué qu’elle mettait tout en œuvre pour protéger ses logiciels.
Commentaires (26)
#1
Ca me parait trop gros le coup de la sacoche abandonnée par inattention.
#2
Une sacoche contenant du matériel et des données très importantes, trouvée TOTALEMENT PAR HASARD par le créateur de Signal lui-même. Wouaw, quelle coincidence, il devrait jouer au Loto à ce stade :)
J’ai hâte de savoir comment il a vraiment “trouvé” cette sacoche :p
#3
Au niveau histoire, il va falloir être plus crédible … car la, j’y crois pas !
#4
Autre point rigolo: il indique que le parseur de Cellebrite qui classe les données récupérées est un véritable gruyère vulnérable à n’importe quel fichier correctement formaté (d’où la compromission qu’il publie), et à la fin du post il évoque le fait que les prochaines MAJ de Signal contiendront des fichiers améliorant l’esthétique du logiciel, qui seront placés dans la base de données de messages…
Pour la sacoche il dit littéralement qu’elle est tombée du camion. XD
#5
Le dernier paragraphe, “The completely unrelated” est aussi un régal (À rapprocher du paragraphe “The exploits”…)
#6
La ficelle de la sacoche “trouvée” avec des informations sensibles, par le responsable d’une messagerie sécurisée , je pense que c’est tellement gros que ça ne passerait même pas dans un téléfilm France 3
#7
#8
Je trouve que chez NextImpact, par moment, vous nous prenez pour des Cons. Pourtant vous faites un excellent travail. Vous auriez dû commencer par nous raconter que l’agent B12Covid28 du FSB (ami intime de Rantanplan) était dans le coup. Je ne suis pas sur ce site pour lire des histoires de Popeye ou de Bibi Fricotin.
#8.1
Signal et Cellebrite sont tous deux des acteurs du numérique, et le coup d’avoir l’équipement de l’un d’entre eux et de voir des logiciels aussi troués, ça a tout autant sa place ici que le piratage d’une grande entreprise ou le prochain plan numérique du gouvernement.
Bien ton complotisme depuis ta grotte ?
#8.4
Tu es dur. Ce n’est pas ce qu’il a voulu dire.
C’est une réponse à la petite introduction du contexte de la découverte qui n’est pas crédible.
Mais bon, on est dans un article de brève, pas dans un article de fond. Donc oui, l’histoire est relayé tel quel. Déterminer qu’elle soit vraie ou fausse demanderait un travail d’investigation particulier pour nos journalistes. Et dans ce cas là nous aurions le droit à un article développé. Pas à une brève.
Je ne pense pas que NextInpact nous ait pris pour des cons. Il faut juste replacer l’article à l’endroit où il est.
#8.2
Ils ne font que reporter ce qu’indique la personne.
Personne n’est dupe que c’est pas la réalité, mais Marlinspike ne peut pas dire “une personne a volé le truc et nous l’a livré” vu que ça serait du recel. Ou “un ex employé de chez nous, nous a passé les outils”
Ici un truc trouvé “par hasard” c’est une excuse valable
#8.3
+1
De toute façon, il fallait quand même une sacrée dose de chance pour réussir à récupérer un tel matos.
Et quand bien même il y aurait des personnes qui aurait fait intermédiaires, de tels ami.e.s ça ne courent pas les rues. Il faut avoir la chance de les trouver et de les rencontrer.
Et la chance, c’est objectivement toujours une forme de hasard.
Donc oui, par hasard, une sacoche a glissé d’un camion.
#9
Après l’iPhone prototype trouvé dans un bar, la Saccoche célébrité sur un banc.
Quand vont ils arrêter de se foutre de nous … 😂
#10
Les gars, l’excuse “tombé du camion” c’est purement un argument juridique, puisqu’il se couvre en cas d’accusation de vol de matériel :)
Après pour le reste il fait :
1- de la pub pour signal
2- il dézingue cellebrite
3- il leur propose un marché, un échange de failles (sur un pont en allemagne de l’est, de nuit lol)
#11
Bah c’est pt être un employé de Cellebrite qui conduisait le camion, va savoir.
#12
Dans une semaine on va apprendre qu’un employé ou un sous traitant du fbi a perdu cette fameuse sacoche.
#13
Ça ne serait pas impossible en effet. Et, si tel est le cas, j’en connais un qui va sentir le vent du boulet. Et, tout à fait possible que Moxie Marlinspike aie droit à une petite visite des autorités …
#14
Je suis d’accord avec toi mais j’ai commencé à douter quand il a évoqué l’agent Covid et Rantanplan.
#15
Si c’est tout ce qu’ils sont capables de mettre en oeuvre, ils sont pas sortis des ronces.
#16
Effectivement, et en lisant les commentaires sur Ars, ça permet d’avoir plus de détails sur ce que cela peut impliquer ce “joli” fichier !
TOUTES les enquêtes qui se basent sur de l’analyse via Cellebrite peuvent être remises en cause, car cela veut dire que n’importe qui même actuellement peut mettre un fichier formaté d’une “belle” façon pour corrompre toutes les données de l’analyse en cours ET de toute les analyses qui ont été faites via le même outil.
Et le fait que l’on ne trouve pas le fichier ne veut pas dire qu’il n’était pas présent, vu qu’on ne peut pas être sûr qu’il était présent (ça fait un peu chat de Schrödinger
)
Pour ceux qui n’auraient pas compris : “joli” ça veut dire ici de fichier dangereux, inoffensif quand laissé tel quel, mais une bombe quand il est traité par l’outil de Cellebrite.
#17
2 points à retenir:
Le but étant une campagne de désinformation pour lever des doutes sur les capacités de Cellebrite, afin de rendre ses résultats irrecevables, et le logiciel inutilisable (de peur de se faire pirater) par ses clients habituels.
C’est fait d’une main de maître, il n’y a pas de doute. La vidéo du blog est également hilarante.
#18
Signal ferait mieux de se concentrer contre les spams qui s’y propagent…
je l’ai désactivé :(
#18.1
Je suis d’accord avec toi mais le fait que tu reçoivent des spams est visiblement aussi corrélé au fait que ton numéros traine a droite ou a gauche sur le net ( fuite de données etc etc)
#18.2
c’est en tout cas très récent, et assez facile à faire.
il suffit de créer un compte signal avec tous les numéros de téléphone, et tu sais directement qui a ou n’a pas signal pour leur envoyer des messages. ça marche avec toutes les applications qui permettent la découverte de contacts.
#19
moi j’y crois. Par exemple j’ai déjà perdu tous mes cours de fac, mes documents les plus importants du moment. Y’en a qui perdent les clés de leur voiture, d’autres celles de leur maison, ou encore la photo de leur maitresse, j’ai trouvé une fois un chèque non endossé de 30000 francs, ….
Si si tout ça arrive.
#20
J’ai eu l’occasion de voir un jour sur la route un camion avec la porte à enroulement grande ouverte. Il y avait une chaise et d’autres élements qui n’ont pas été sécurisés. Je l’ai vu que sur la fin du voyage, donc j’ignore ce qu’il a perdu en chemin