Lancé discrètement en juillet, écrit L'Essor de la gendarmerie, le projet européen Exfiles (Extract Forensic Information for Law Enforcement Agencies from Encrypted Smart Phones), financé par l'UE à hauteur de sept millions d’euros, veut contourner l’« obstacle » du chiffrement.
« Les fabricants proposent un chiffrement intégré et robuste qui peut rendre les données sur un appareil capturé pratiquement inexistantes, notent les partenaires d’Exfiles dans la plaquette de présentation du projet. Il est devenu indispensable de trouver des moyens de déchiffrer systématiquement les appareils mobiles chiffrés. »
Rendue célèbre notamment par son partenariat avec le FBI depuis 2012, l'entreprise israélienne Cellebrite, filiale de la société japonaise Sun Corporation, est devenue un partenaire obligé des polices du monde entier. Mais son expertise n’est pas gratuite, relève l'Essor.
En France, Cellebrite a gagné l’an passé deux marchés d’un montant total de 7 millions d’euros. Le premier pour fournir aux forces de sécurité, dont la Gendarmerie, des équipements d’investigation informatique et électronique. Le second vise à mettre à jour le parc existant de systèmes d’extraction et d’analyse de données téléphoniques.
Chère, la solution de Cellebrite est également moins performante pour les dernières générations d’ordiphones. « Leurs outils fonctionnent bien sur les téléphones d’ancienne génération. Mais pour les nouveaux, nous sommes un peu dans l’impasse », explique à L’Essor Assia Tria, responsable technique du projet Exfiles et chercheuse au CEA-Leti, un laboratoire de pointe.
Pour contourner l’obstacle du chiffrement dans les affaires judiciaires, les 14 partenaires d’Exfiles – dont la gendarmerie nationale et Synacktiv, une « référence française en matière de sécurité offensive » – vont chercher de nouvelles vulnérabilités sur un certain nombre d’ordiphones, qu’elles soient matérielles ou logicielles.
Exfiles est le successeur du projet CERBERUS (pour Child Exploitation Response by Beating Encryption and Research to Unprotect Systems), une plateforme de cassage de mots de passe utilisable par tout pays de l’Union et mise en oeuvre par la gendarmerie.
L'an passé, sa « nouvelle arme » anti-cryptographie lui avait valu le prix Emerging Forensic Scientist Award de l'European Academy of Forensic Science (qui regroupe l’ensemble des laboratoires européens de criminalistique) pour son travail qualifié de « décisif dans l’expertise numérique et dans le déchiffrement de la donnée ».
Elle avait aussi réussi à intercepter, analyser et décrypter plus d'une centaine de millions de messages échangés par des criminels en installant un logiciel espion dans leurs terminaux sécurisés EncroChat.
Commentaires (16)
#1
Pourquoi ne pas interdire le chiffrement complet aux fabricants ? C’est un vrai non-sens juridique.
#1.1
Pourquoi faciliter la vie des cybercriminels au nom de la sécurité? C’est un vrai non-sens sécuritaire.
#1.2
Euh…parce que c’est liberticide?
Et que le chiffrement est utilisé aussi bien par des journalistes, que des politiques, entreprises.
#2
Ce que je veux dire c’est qu’à la fois autoriser les chiffrement et créer des outils de cassage ou de piratage des smartphones est un non-sens.
#2.1
La protection de la vie privée est un droit constitutionnel en France. L’accès à cette vie privée par l’État pour des besoins d’enquête est une exception et doit le rester.
Donc, non, ce n’est pas un non sens.
#2.2
Protéger par chiffrement le dernier bilan de santé PDF que vous avez reçu de votre médecin ou le dernier relevé de compte que vous avez téléchargé en local à du sens (par exemple si vous vous faites voler votre smartphone).
Lutter contre la criminalité organisée en pouvant accéder à des données chiffrées à du sens aussi (tant que c’est exceptionnel et encadré).
C’est pas un non sens, c’est un double sens.
#2.3
C’est surtout une grosse idiotie. Un criminel (ou terroriste) ou organisation qui comprend un tant soit peut ce qu’il fait ne se risque pas à utiliser des dispositifs (numérique ou non) qui pourraient le trahir.
On pourra trouver facilement un gendarme qui avancera que le numérique fait du chiffre mais seulement pour choper les plus crétins. Pour les vrais il faut utiliser l’infiltration et cela ne se fait que par un travail humain.
#3
C’est à mettre en perspective avec ça:
https://commonsware.com/blog/2020/09/23/uncomfortable-questions-app-signing.html
De ce que j’ai compris, en gros, Apple & Google signeraient à la place des dev les app diffusés sur le store , et le store ne serais plus contournable - c’est déjà le cas sous iOS, sous android ça reste possible via f-droid & autres.
L’inquiétude est alors que google (et Apple ) puisse intégrer au sein même du code des applis des systèmes de snif/détournement/log des conversations “chiffrées”, vu qu’ils s’intercaleraient au niveau de l’appli elle même.
Comme le projet de type “going dark” aux us, le but reste toujours que les autorités (auto-proclamées) aient accès à des systèmes que les “autres” (méchant, pirates, commerciaux,…) n’ont pas .
Et pour moi, ça, c’est le même problème que les DRM : c’est par nature vicié.
#4
Je comprends le besoin des autorités internationales d’arrivé à “trouer” le chiffrement pour les besoin d’enquêtes. Le soucis, c’est qu’une fois ces techniques trouvées, cela ne facilitera-t-il pas également l’espionnage des échanges au sommet de l’état (voir militaires, je ne sais pas ce qu’ils utilisent pour communiquer) par des pays extérieur ?
J’ai la désagréable impression que dés que les autorités parlent de ce sujet ils partent du principe que toutes les techniques qui seront misent en placent pour casser le chiffrement ne seront jamais utilisées contre eux alors que de mon point de vue, de gros néophytes sur ce sujet je précise, ça me parait évident que toutes ces techniques finiront tôt ou tard par être utilisées également contre eux par des pays “ennemis”.
#5
baaaaahhhhhhhh vive l’import… si jamais cette histoire de non sens passe !
Il y a un moment il faut que les politiciens réfléchissent un peu plus.
L’option de facilité n’est pas toujours la meilleurs ! Je me demande des fois pourquoi on doit payer des impôts si c’est pour un résultat aussi nul.
#6
Sans doute vrai pour un groupe organisé.
Mais pour déchiffrer le smartphone du dealer du coin et remonter l’organigramme ça peut être utile aussi.
Une fois le smartphone déverrouillé on a souvent libre accès aux applis, dont les différents messenger, sans ressaisir de mot de passe et donc sans affaiblir les algos de chiffrement de bout en bout des ces applis.
Du coup en réponse à:
#7
@fred42 @merlinpimpim
Je reformule : soit on autorise le chiffrement total et dans ce cas-là, “on fait avec”. Soit on l’interdit.
Parce que si le logiciel espion finit par être installé par défaut pour que les enquêteurs puissent vérifier que vous n’êtes pas un terroriste, je ne vois pas l’intérêt…
#7.1
Il ne s’agit justement pas ici d’installer par défaut un logiciel espion, mais de n’utiliser leurs outils que pour des cibles bien précises.
#7.2
Et c’est là que la dérive s’installe.
#7.3
Je n’arrive pas à comprendre l’enchaînement de tes différentes interventions sous cette brève.Ça n’a pas l’air bien clair dans ta tête.
Tu commences par dire qu’il faut supprimer le chiffrement puis tu finis en craignant la dérive et l’installation d’un logiciel qui casserait le chiffrement sur tous les smartphones. Il faudrait avoir un peu plus de cohérence.
#8
Un dealer de la cage d’escalier fait pareil. Mais en mode carte prépayés par exemple. Au passage une ouverture de ligne tout les quinzes jours avec un nom qui n’en n’est pas un. Tu les prends pour des demeurés ?