Point sécu : le « kiosk », arme ultime de la police ?

La nouvelle a fait grand bruit : la police va se doter sous peu de boîtiers qui seraient capables de rentrer dans virtuellement n’importe quel smartphone, aussi protégé soit-il.

Cet appareil nommé le « kiosk », vendu par une société de sécurité informatique israélienne Cellebrite qu’elle qualifie d’UFED Universal Forensic Extraction Device », Appareil d’Extraction Forensic Universel) permettrait de brancher n’importe quel appareil et d’en extraire les informations en quelques minutes, sans compétence informatique particulière. Tout naturellement, cela a provoqué un emballement médiatique et surtout des craintes dans les milieux militants. Dans les faits, les choses sont plus compliquées.

Ce type de technologies, au même titre que les dispositifs de surveillance de masse, jouent sur deux tableaux. Il y a évidemment d’une part leur rôle technique originel, mais à cela s’ajoute un effet bien plus pervers : la mystification du processus de répression. Faute d’information, il est facile de sombrer dans la paranoïa et de se dire qu’il n’y a pas grand chose à faire : une conséquence du « Chilling Effect », nom donné à l’auto-censure face au risque de répression. La solution face à ça semble évidente, tenter de s’informer sur les détails du fonctionnement de l’appareil ; bien conscientes de ce pouvoir, l’industrie comme les autorités maintiennent le mystère autour de ces dispositifs. Néanmoins, il est possible de se baser sur les quelques informations disponibles dans le domaine ainsi que sur les quelques communications officielles existantes pour savoir comment s’en protéger au mieux et également dissiper l’aura qui les entoure.

Comme souvent en informatique, la plupart des sources qui seront citées ici sont en anglais

La sécurité informatique et son business

Malgré les efforts de l’industrie en matière de sécurité ces dernières années, des failles sont régulièrement trouvées dans les systèmes informatiques. Elles peuvent se présenter sur un smartphone sous la forme d’attaques lors du démarrage de l’appareil [1], d’abus des dispositifs de maintenance, ou encore de failles dans le système lui-même (iOS ou Android [2]) ou les applications. Mais ces failles ne sont jamais livrées clef en main : elles sont souvent publiées via des papiers scientifiques ou des articles de blog, présentant le processus de recherche, les résultats, et parfois le code développé pour les tester (on parle de « Proof of Concept », preuve de concept en français) qui est souvent uniquement applicable dans le cas particulier utilisé pendant la recherche. D’autres personnes, motivées par la volonté de pousser les fabricants à corriger les failles ou plus simplement pour des raisons financières, mettent alors au point une version prête à l’emploi de l’exploitation la faille, souvent sous la forme d’un module utilisable dans des logiciels dédiés.
Par exemple, ce poste en anglais sur le blog du Project Zero (groupe recherche en sécurité informatique appartenant à Google) datant de janvier 2020, décrit une faille dans l’application Apple iMessage ne nécessitant pas d’interaction de la victime et permettant d’obtenir le contrôle de l’appareil. Cette vulnérabilité a été signalée à Apple avant sa publication pour leur permettre de la contrer puis de la corriger complètement, avant qu’elle ne puisse être exploitée. Cas particulier néanmoins, certaines entités comme les agences de renseignement [3] et des groupes spécialisés préfèrent logiquement garder secrets les « exploits » (terme technique employé pour désigner les failles « exploitables ») qu’elles découvrent, afin de pouvoir s’en servir au moment opportun.

PNG - 148.5 ko
La liste des failles de sécurité concernant iOS en 2019 (toutes corrigées depuis), avec divers informations les concernant

Ces failles ont donc de la valeur et un business très lucratif s’est développé autour de celles-ci. Cela va du marché noir sur lequel gouvernements et autres groupes criminels cohabitent pour s’échanger des vulnérabilités à prix d’or (les vulnérabilités prêtes à l’emploi les plus efficaces et les plus fiables peuvent facilement dépasser le million de dollars), aux sociétés offrant des prestations d’audit aux grandes entreprises, en passant par des programmes de « bug bounty » [4] pour encourager les signalements de failles auprès du constructeur moyennant récompense.

La sécurité des smartphones

De par leur nombre et leur versatilité, les smartphones représentent un défi technique en terme de sécurité ; les modèles récents jouissent donc de fait de nombreux mécanismes de protection, dont on ne trouve des équivalences que dans des modèles d’ordinateurs hauts de gamme. Parmi ces protections, on retrouve le chiffrement du stockage ; il s’agit d’une protection dite « au repos », puisque les données ne sont protégées que sur le support de stockage lui-même. Cette protection est donc imparfaite car l’appareil accède aux données « en clair » quand il est en fonction : il faut donc s’assurer qu’il n’y a pas de faille de sécurité dans le système ou les applications. Aussi, ces dispositifs ne sont pas parfaits et des vulnérabilités sont régulièrement trouvées.

Pour contrer cela, de nombreux dispositifs de protections s’ajoutent au chiffrement : la plupart des smartphones stockent par exemple la clef de déchiffrement sur une puce [5] séparée du processeur et donc difficilement extractible. Ladite clef peut être basée sur un élément d’authentification de l’utilisateur-ice comme le code de déverrouillage ou des données biométriques (reconnaissance faciale ou empreintes digitales), empêchant fortement l’extraction de données chiffrées pour les déchiffrer a posteriori, ou même le déchiffrement de l’appareil sans que la personne ne livre le code d’accès. Cette puce a aussi pour rôle de surveiller au démarrage que rien a été altéré matériellement ou logiciellement et pour détecter tout dispositif ayant pour but de compromettre l’appareil.



Proposer un complément d'info

modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Se connecter
Votre message

Pour créer des paragraphes, laissez simplement des lignes vides.

Lien hypertexte

(Si votre message se réfère à un article publié sur le Web, ou à une page fournissant plus d’informations, vous pouvez indiquer ci-après le titre de la page et son adresse.)

Ajouter un document

Articles de la même thématique : Sécurité informatique

Guide de survie en protection numérique à l’usage des militant·es

Quelles sont les principales menaces numériques et comment s’en protéger ? Comment fonctionne la surveillance numérique ? Que penser de Signal ? Des mails ? Des smartphones ? Comment gérer ses mots de passes ? Que faire des réseaux sociaux ? Comment utiliser son ordinateur ? Ce guide de survie tente de présenter de manière synthétique des éléments de réponses à toutes ces questions.

Mise à jour 2021 du TuTORiel Tails

Tails est un système d’exploitation qui tient sur une clef USB fait pour faire de la sécurité informatique et qui regroupe des logiciels pour se protéger un minimum de la surveillance. Une mise à jour vient d’être proposée à une brochure publiée il y a un an pour aider à utiliser cet outil.

Riseup : Ensemble nous pouvons agir !

Bien que les néo-fascistes, les zombies de Q-anon et votre oncle en colère affirment que les mouvements sociaux sont financés par George Soros, nous savons que ce n’est pas le cas. Chez Riseup, nous survivons tant bien que mal grâce au soutien de gens comme vous.

Articles de la même thématique : Surveillance informatique

TutoRadio : Se fabriquer une clé TAILS

Une clé TAILS, c’est pas un gadget qu’on voit dans les séries d’espionnage, c’est un outil bien pratique et pas compliqué à utiliser au quotidien qui permet à tout un chacun.e d’aller sur n’importe quel ordinateur sans laisser de traces !

Le site Women On Web est censuré en Espagne

Depuis fin janvier 2020, le site web d’information sur l’avortement Women on Web est bloqué sur le territoire espagnol. Comme décrit dans un rapport technique détaillé publié le 5 mai, plusieurs fournisseurs d’accès à Internet (FAI) bloquent en effet le site web. À défaut de confirmation de la part des FAI, nous ne pouvons que spéculer sur le fait qu’un tel blocage serait à l’initative du Ministerio de Sanidad (NdT : le Ministère de la Santé espagnol), par le biais de l’Agencia Española de Medicamentos y Productos Sanitarios (AEMPS, l’agence espagnole de sécurité du médicament).