Point sécu : le « kiosk », arme ultime de la police ?

La nouvelle a fait grand bruit : la police va se doter sous peu de boîtiers qui seraient capables de rentrer dans virtuellement n’importe quel smartphone, aussi protégé soit-il.

Cet appareil nommé le « kiosk », vendu par une société de sécurité informatique israélienne Cellebrite qu’elle qualifie d’UFED Universal Forensic Extraction Device », Appareil d’Extraction Forensic Universel) permettrait de brancher n’importe quel appareil et d’en extraire les informations en quelques minutes, sans compétence informatique particulière. Tout naturellement, cela a provoqué un emballement médiatique et surtout des craintes dans les milieux militants. Dans les faits, les choses sont plus compliquées.

Ce type de technologies, au même titre que les dispositifs de surveillance de masse, jouent sur deux tableaux. Il y a évidemment d’une part leur rôle technique originel, mais à cela s’ajoute un effet bien plus pervers : la mystification du processus de répression. Faute d’information, il est facile de sombrer dans la paranoïa et de se dire qu’il n’y a pas grand chose à faire : une conséquence du « Chilling Effect », nom donné à l’auto-censure face au risque de répression. La solution face à ça semble évidente, tenter de s’informer sur les détails du fonctionnement de l’appareil ; bien conscientes de ce pouvoir, l’industrie comme les autorités maintiennent le mystère autour de ces dispositifs. Néanmoins, il est possible de se baser sur les quelques informations disponibles dans le domaine ainsi que sur les quelques communications officielles existantes pour savoir comment s’en protéger au mieux et également dissiper l’aura qui les entoure.

Comme souvent en informatique, la plupart des sources qui seront citées ici sont en anglais

La sécurité informatique et son business

Malgré les efforts de l’industrie en matière de sécurité ces dernières années, des failles sont régulièrement trouvées dans les systèmes informatiques. Elles peuvent se présenter sur un smartphone sous la forme d’attaques lors du démarrage de l’appareil [1], d’abus des dispositifs de maintenance, ou encore de failles dans le système lui-même (iOS ou Android [2]) ou les applications. Mais ces failles ne sont jamais livrées clef en main : elles sont souvent publiées via des papiers scientifiques ou des articles de blog, présentant le processus de recherche, les résultats, et parfois le code développé pour les tester (on parle de « Proof of Concept », preuve de concept en français) qui est souvent uniquement applicable dans le cas particulier utilisé pendant la recherche. D’autres personnes, motivées par la volonté de pousser les fabricants à corriger les failles ou plus simplement pour des raisons financières, mettent alors au point une version prête à l’emploi de l’exploitation la faille, souvent sous la forme d’un module utilisable dans des logiciels dédiés.
Par exemple, ce poste en anglais sur le blog du Project Zero (groupe recherche en sécurité informatique appartenant à Google) datant de janvier 2020, décrit une faille dans l’application Apple iMessage ne nécessitant pas d’interaction de la victime et permettant d’obtenir le contrôle de l’appareil. Cette vulnérabilité a été signalée à Apple avant sa publication pour leur permettre de la contrer puis de la corriger complètement, avant qu’elle ne puisse être exploitée. Cas particulier néanmoins, certaines entités comme les agences de renseignement [3] et des groupes spécialisés préfèrent logiquement garder secrets les « exploits » (terme technique employé pour désigner les failles « exploitables ») qu’elles découvrent, afin de pouvoir s’en servir au moment opportun.

PNG - 148.5 ko
La liste des failles de sécurité concernant iOS en 2019 (toutes corrigées depuis), avec divers informations les concernant

Ces failles ont donc de la valeur et un business très lucratif s’est développé autour de celles-ci. Cela va du marché noir sur lequel gouvernements et autres groupes criminels cohabitent pour s’échanger des vulnérabilités à prix d’or (les vulnérabilités prêtes à l’emploi les plus efficaces et les plus fiables peuvent facilement dépasser le million de dollars), aux sociétés offrant des prestations d’audit aux grandes entreprises, en passant par des programmes de « bug bounty » [4] pour encourager les signalements de failles auprès du constructeur moyennant récompense.

La sécurité des smartphones

De par leur nombre et leur versatilité, les smartphones représentent un défi technique en terme de sécurité ; les modèles récents jouissent donc de fait de nombreux mécanismes de protection, dont on ne trouve des équivalences que dans des modèles d’ordinateurs hauts de gamme. Parmi ces protections, on retrouve le chiffrement du stockage ; il s’agit d’une protection dite « au repos », puisque les données ne sont protégées que sur le support de stockage lui-même. Cette protection est donc imparfaite car l’appareil accède aux données « en clair » quand il est en fonction : il faut donc s’assurer qu’il n’y a pas de faille de sécurité dans le système ou les applications. Aussi, ces dispositifs ne sont pas parfaits et des vulnérabilités sont régulièrement trouvées.

Pour contrer cela, de nombreux dispositifs de protections s’ajoutent au chiffrement : la plupart des smartphones stockent par exemple la clef de déchiffrement sur une puce [5] séparée du processeur et donc difficilement extractible. Ladite clef peut être basée sur un élément d’authentification de l’utilisateur-ice comme le code de déverrouillage ou des données biométriques (reconnaissance faciale ou empreintes digitales), empêchant fortement l’extraction de données chiffrées pour les déchiffrer a posteriori, ou même le déchiffrement de l’appareil sans que la personne ne livre le code d’accès. Cette puce a aussi pour rôle de surveiller au démarrage que rien a été altéré matériellement ou logiciellement et pour détecter tout dispositif ayant pour but de compromettre l’appareil.



Proposer un complément d'info

modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Se connecter
Votre message

Pour créer des paragraphes, laissez simplement des lignes vides.

Lien hypertexte

(Si votre message se réfère à un article publié sur le Web, ou à une page fournissant plus d’informations, vous pouvez indiquer ci-après le titre de la page et son adresse.)

Ajouter un document

Articles de la même thématique : Sécurité informatique

Entretien avec LEAP, un projet d’accès chiffré à internet.

On démêle l’internet, les grandes entreprises du web qui vivent de l’exploitation de nos données. Comment peut-on surfer sans tout leur donner ? On en parle avec les gens de LEAP qui nous expliquent comment fonctionne leur projet, en expliquant le chiffrement, le serveur, le VPN, le Riseup VPN, en réfléchissant à qui on fait confiance et pourquoi.

15h de soutien à Dijoncter.info & à l’informatique libre

Le 1er février, toute la journée et toute la nuit seront rythmées par des discussions, des ateliers et de l’électro en soutien à Dijoncter.info, mais aussi à de nombreux projets qui font vivre l’internet et l’informatique libre aujourd’hui.

Articles de la même thématique : Surveillance informatique

Le site Women On Web est censuré en Espagne

Depuis fin janvier 2020, le site web d’information sur l’avortement Women on Web est bloqué sur le territoire espagnol. Comme décrit dans un rapport technique détaillé publié le 5 mai, plusieurs fournisseurs d’accès à Internet (FAI) bloquent en effet le site web. À défaut de confirmation de la part des FAI, nous ne pouvons que spéculer sur le fait qu’un tel blocage serait à l’initative du Ministerio de Sanidad (NdT : le Ministère de la Santé espagnol), par le biais de l’Agencia Española de Medicamentos y Productos Sanitarios (AEMPS, l’agence espagnole de sécurité du médicament).

[Lons le Saunier] Compte-rendus du procès 5G

Lundi 20 juillet, deux hommes étaient jugés à Lons le Saunier, accusés d’avoir incendié une antenne relais téléphonique dans le Jura ainsi que le Mac Do de Champagnole. Les juges, du haut de tout leur mépris de classe, les ont envoyé en prison pour 3 et 4 ans ferme avec mandat de dépot. Récit du procès.