Cet appareil nommé le « kiosk », vendu par une société de sécurité informatique israélienne Cellebrite qu’elle qualifie d’UFED (« Universal Forensic Extraction Device », Appareil d’Extraction Forensic Universel) permettrait de brancher n’importe quel appareil et d’en extraire les informations en quelques minutes, sans compétence informatique particulière. Tout naturellement, cela a provoqué un emballement médiatique et surtout des craintes dans les milieux militants. Dans les faits, les choses sont plus compliquées.

Ce type de technologies, au même titre que les dispositifs de surveillance de masse, jouent sur deux tableaux. Il y a évidemment d’une part leur rôle technique originel, mais à cela s’ajoute un effet bien plus pervers : la mystification du processus de répression. Faute d’information, il est facile de sombrer dans la paranoïa et de se dire qu’il n’y a pas grand chose à faire : une conséquence du « Chilling Effect », nom donné à l’auto-censure face au risque de répression. La solution face à ça semble évidente, tenter de s’informer sur les détails du fonctionnement de l’appareil ; bien conscientes de ce pouvoir, l’industrie comme les autorités maintiennent le mystère autour de ces dispositifs. Néanmoins, il est possible de se baser sur les quelques informations disponibles dans le domaine ainsi que sur les quelques communications officielles existantes pour savoir comment s’en protéger au mieux et également dissiper l’aura qui les entoure.

Comme souvent en informatique, la plupart des sources qui seront citées ici sont en anglais

La sécurité informatique et son business

Malgré les efforts de l’industrie en matière de sécurité ces dernières années, des failles sont régulièrement trouvées dans les systèmes informatiques. Elles peuvent se présenter sur un smartphone sous la forme d’attaques lors du démarrage de l’appareil [1], d’abus des dispositifs de maintenance, ou encore de failles dans le système lui-même (iOS ou Android [2]) ou les applications. Mais ces failles ne sont jamais livrées clef en main : elles sont souvent publiées via des papiers scientifiques ou des articles de blog, présentant le processus de recherche, les résultats, et parfois le code développé pour les tester (on parle de « Proof of Concept », preuve de concept en français) qui est souvent uniquement applicable dans le cas particulier utilisé pendant la recherche. D’autres personnes, motivées par la volonté de pousser les fabricants à corriger les failles ou plus simplement pour des raisons financières, mettent alors au point une version prête à l’emploi de l’exploitation la faille, souvent sous la forme d’un module utilisable dans des logiciels dédiés.
Par exemple, ce poste en anglais sur le blog du Project Zero (groupe recherche en sécurité informatique appartenant à Google) datant de janvier 2020, décrit une faille dans l’application Apple iMessage ne nécessitant pas d’interaction de la victime et permettant d’obtenir le contrôle de l’appareil. Cette vulnérabilité a été signalée à Apple avant sa publication pour leur permettre de la contrer puis de la corriger complètement, avant qu’elle ne puisse être exploitée. Cas particulier néanmoins, certaines entités comme les agences de renseignement [3] et des groupes spécialisés préfèrent logiquement garder secrets les « exploits » (terme technique employé pour désigner les failles « exploitables ») qu’elles découvrent, afin de pouvoir s’en servir au moment opportun.

Ces failles ont donc de la valeur et un business très lucratif s’est développé autour de celles-ci. Cela va du marché noir sur lequel gouvernements et autres groupes criminels cohabitent pour s’échanger des vulnérabilités à prix d’or (les vulnérabilités prêtes à l’emploi les plus efficaces et les plus fiables peuvent facilement dépasser le million de dollars), aux sociétés offrant des prestations d’audit aux grandes entreprises, en passant par des programmes de « bug bounty » [4] pour encourager les signalements de failles auprès du constructeur moyennant récompense.

La sécurité des smartphones

De par leur nombre et leur versatilité, les smartphones représentent un défi technique en terme de sécurité ; les modèles récents jouissent donc de fait de nombreux mécanismes de protection, dont on ne trouve des équivalences que dans des modèles d’ordinateurs hauts de gamme. Parmi ces protections, on retrouve le chiffrement du stockage ; il s’agit d’une protection dite « au repos », puisque les données ne sont protégées que sur le support de stockage lui-même. Cette protection est donc imparfaite car l’appareil accède aux données « en clair » quand il est en fonction : il faut donc s’assurer qu’il n’y a pas de faille de sécurité dans le système ou les applications. Aussi, ces dispositifs ne sont pas parfaits et des vulnérabilités sont régulièrement trouvées.

Pour contrer cela, de nombreux dispositifs de protections s’ajoutent au chiffrement : la plupart des smartphones stockent par exemple la clef de déchiffrement sur une puce [5] séparée du processeur et donc difficilement extractible. Ladite clef peut être basée sur un élément d’authentification de l’utilisateur-ice comme le code de déverrouillage ou des données biométriques (reconnaissance faciale ou empreintes digitales), empêchant fortement l’extraction de données chiffrées pour les déchiffrer a posteriori, ou même le déchiffrement de l’appareil sans que la personne ne livre le code d’accès. Cette puce a aussi pour rôle de surveiller au démarrage que rien a été altéré matériellement ou logiciellement et pour détecter tout dispositif ayant pour but de compromettre l’appareil.