Signal pirate l’outil de déverrouillage d’iPhone utilisé par la police
Le CEO de l’app de messagerie sécurisée Signal a découvert des failles de sécurité dans le logiciel de Cellebrite, firme israélienne qui fournit aux forces de l'ordre un dispositif permettant de déverrouiller un smartphone et d'en extraire les données. Les vulnérabilités permettent notamment de manipuler les données extraites.
Fondateur et CEO de l’app de messagerie sécurisée Signal, Moxie Marlinspike a récemment révélé avoir découvert des vulnérabilités dans un logiciel de Cellebrite. Cette société est connue pour ses dispositifs permettant de déverrouiller un iPhone et d’en extraire les données. Cellebrite fournit notamment ses solutions aux forces de l'ordre de nombreux pays, dont le FBI, mais aussi la police vaudoise et fedpol. Le fournisseur israelien ne fait toutefois pas seulement affaire avec les polices de pays respectant les droits de l’homme. Le boss de Signal rappelle en effet que les dispositifs de Cellebrite sont également utilisés par des régimes autoritaires et groupes connus pour agresser des minorités.
Signal, à l'instar d’autres apps de messagerie sécurisées, vient en aide aux opprimés, aux journalistes, à des victimes de censure, mais aussi à des criminels. Son business modèle se situe à l’opposé de celui de Cellebrite, qui a fait savoir en décembre dernier que son logiciel prenait en charge Signal, certains médias interprétant l'annonce comme la capacité de déchiffrer les données de l’app de messagerie. A tort, selon Moxie Marlinspike.
Dispositif tombé d’un camion
Visiblement bien décidé à ternir l’image de Cellebrite, le CEO de Signal s’est fendu d’un billet de blog pour expliquer en détail comment il est parvenu à manipuler le logiciel d'extraction de données de la firme israélienne, habituellement livré par cette dernière sous la forme d’un kit avec un dongle et différents câbles. Moxie Marlinspike prétend avoir mis la main sur le kit par hasard: le paquet serait tombé d'un camion… «Nous avons été surpris de constater que très peu d'attention semble avoir été accordée à la sécurité du logiciel de Cellebrite. Les défenses d'atténuation d'exploitation standard de l'industrie sont absentes, et de nombreuses opportunités d'exploitation sont présentes», poursuit le développeur expert en chiffrement.
Fichier manipulant les scans de données de Cellebrite
Dans son article, le CEO de Signal a découvert qu'en incluant des fichiers spécialement formatés dans n'importe quelle application sur un appareil scanné par Cellebrite, il était possible d’exécuter un code modifiant le rapport généré par le logiciel du fournisseur. La manipulation permettrait de compromettre l’intégrité des rapports de scan de données passés, présents et futurs, souligne Moxie Marlinspike. Qui ajoute: «N'importe quelle application peut contenir un tel fichier, et jusqu'à ce que Cellebrite soit capable de réparer avec précision toutes les vulnérabilités de son logiciel avec un niveau de confiance extrêmement élevé, le seul remède dont dispose un utilisateur de Cellebrite est de ne pas scanner les appareils.» Avec ironie, le billet de blog indique que Signal est disposé à divulguer de manière responsable les vulnérabilités spécifiques à Cellebrite, «s'ils font de même pour toutes les vulnérabilités qu'ils utilisent dans leur extraction physique et autres services». Autant directement initier une procédure de faillite…
