Le P.-D.G. de Signal pirate un des dispositifs permettant à la police de lire les messages chiffrés

Publié le 26 avril 2021 à 10h12

Un utilisateur de Cellebrite en action © Jack Guez/AFP via GETTY IMAGES

Alors que Cellebrite avait annoncé en décembre 2020 pouvoir exploiter les données issues de l’application Signal, le P.-D.G. de la messagerie privée a expliqué dernièrement avoir piraté le logiciel Cellebrite.

Celui-ci peut se révéler très importants lors d'enquêtes.

Le contenu des smartphones lu et traité avec UFED et Physical Analyzer

Cellebrite est une entreprise israélienne spécialisée dans l’analyse des smartphones. Elle est connue pour fournir depuis quelques années des outils qui permettent aux polices du monde entier d’exploiter les données d’un appareil mobile dans le cadre d’une enquête.

Ses logiciels peuvent accéder de façon légale aux données d’un smartphone saisi dans le cadre d’une perquisition. Le contenu de l’appareil peut être lu et traité avec des programmes.

Pour procéder au décryptage, Cellebrite se sert d’UFED pour créer une sauvegarde. Une fois la sauvegarde effectuée, Physical Analyzer analyse les fichiers pour afficher les données sous une forme consultable. Un intrus peut alors ouvrir l’application Signal, y lire les messages et faire des copies d’écran si nécessaire.

La condition préalable est que celui-ci ait un accès physique au smartphone.

Des failles détectées dans Cellebrite

Après que Cellebrite a exprimé sa capacité à exploiter les données pourtant chiffrées de Signal, son P.-D.G. et hackeur reconnu, Moxie Marlinspike, a sorti un post de blog sous forme de réponse. Il explique que le Cellebrite contient des failles et qu'il a réussi à le pirater.

Le logiciel traite en effet un grand nombre de données d’une source non fiable, en l’occurrence un smartphone confisqué, ce qui constitue une passerelle classique pour les logiciels malveillants

Pour exploiter cette brèche, il s’agit de créer un fichier dans une application de l’appareil, qui est ensuite connecté à Cellebrite et analysé. Cela permet de modifier les résultats créent par l’analyse.

De plus, fait remarquer Moxie Marlinspike, la bibliothèque Opensource Ffmpeg utilisée pour afficher les données multimédias n’aurait plus été mise à jour par Cellebrite depuis… 2012.

Pour lui, tout cela veut dire que les analyses de la société israélienne peuvent être manipulées.

Marlinspike annonce aussi vouloir pirater Cellebrite en y disposant des fichiers dans Signal, sans danger pour les utilisateurs, à cet effet…

Source principale : Vice

Par Bruno Poncet

Aucun résumé disponible

Articles de Bruno Poncet

Hackers

Signal

Messageries instantanées

Régulation numérique

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Comcom1

Voici une première démonstration qui montre qu’on ne peut pas faire confiance à un gouvernement qui demande une backdoor légal on sait qu’ils ne seront pas la protéger comme il se doit

malak

Sauf que Cellebrite peut facilement résoudre ces failles…

Le PDG de Signal se comporte comme au gamin de 10 ans, mécontent qu’on lui ai cassé son jouet…
Mais bon, le ridicule ne tue pas, ça rend même célèbre.

Comcom1

Peu importe, à partir du moment ou une faille est possible c’est juste inacceptable.

jeanlucesi

Le PDG de SIGNAL nous démontre toute sa maitrise du sujet n’en déplaise à quelques aigris de la vie.

merotic

Avec des gens comme Malak, nous pourrions sans problème vivre sous un régime pseudo soviétique et il en serait un de ses cadres.

Nous glissons vers des états qui violent la vie privée dans des enquêtes qui ne sont pas toujours liées au terrorisme mais pour vous, la sécurité compte plus que la liberté sauf qu’actuellement vous n’avez ni la sécurité et encore moins la liberté.

Le prétexte de faire baisser le terrorisme ou de dire que sans ces intrusions dans la vie privée serait pire, tombe à l’eau au vu des récentes actualités concernant le terrorisme.

Il est normal qu’une entreprise qui reçoit une mauvaise presse sur son programme piratable par une autre société réagisse et comble la faille quitte à donner une leçon à ces pratiques malsaines.

Si vous souhaitez connaître tous les abus d’une société dictatoriale dans la vie (privée) des gens, vous pouvez vous informer sur
Ces blagues politiques qui pouvaient vous coûter la vie sous Staline - Russia Beyond FR .

Sachant que même pour une blague misogyne ou qui touche un public fragile vous pouvez désormais être traîné en justice et voir surgir un matin des forces de l’ordre, il vaut mieux se faire discret.

Le glissement vers une société répressive qui n’accepte aucune autre opinion que celle des médias, nécessite des outils pour communiquer avec les siens. On peut être accusé de tout même si cela est faux. Nous sommes dans l’ère de la dénonciation calomnieuse.

twenty94470

C’est juste de la com, il y a eu un peu partout des articles pour dire que signal est vulnerable, faire juste une maj de l’application sur le store n’aurait pas changé ce point de vue, maintenant pour ceux qui ont lu les 2 articles, signal n’est plus vulnérable (jusqu’à quand ?)

popernik

… Toute applications mainstream est d’office compromises … C’est Normal …

Carmageddon

« Marlinspike annonce aussi vouloir pirater Cellebrite en y disposant des fichiers dans Signal, sans danger pour les utilisateurs, à cet effet… »

Génial, l’arroseur arroser. Ou la loi du Talion.
Ce sera alors un honneur de télécharger Signal. Ils y réfléchiront à 2 fois avant d’y connecter un smartphone. Surtout qu’il suffit qu’une connaissance (dont tu ne contrôles pas les gestes) fasse une couille pour avoir toi aussi le droit à une perquisition, fouille et compagnie.

polaris197

Plusieurs points sont à prendre en compte :
1/ Signal est sécurisé, jusqu’à un certain point… mais ce n’est pas cet élément qui l’on rendu récemment populaire; c’est le nombre de donnée personnel qui lui sont nécessaire pour fonctionner( le numéro de téléphone ).
2/ La société Cellebrite : hacker « éthique » des périphériques personnels dans le cadre judiciaire qui doit aussi fournir la preuve que les données collectées qu’ils arrivent à collecter sont valide pour un tribunal. Ce qui sous entend qu’au moment de l’extraction et une fois extraite, elles ne puissent pas être modifier. Et c’est pas en laissant des librairies comportant des failles qu’ils peuvent le faire.
3/ Quand une société se vante de pouvoir casser la sécurité d’une autre, elle se doit d’être exemplaire sur tous les points et qu’elle ne vienne surtout pas se plaindre qu’une autre lui retourne la pareil ( le cas de nexpose en est l’exemple le plus marquant ).
4/ La liberté d’expression est primordiale dans le respect des autres. C’est pas parce que l’on pense détenir la Vérité que l’on a raison.

mcbenny

« Ses logiciels peuvent accéder de façon légale aux données d’un smartphone »

Et ça ne choque personne ?

Il me semble que dans la loi, ce qui compte au delà des actes, et des faits, c’est l’intention : quelqu’un qui braque une banque avec un pistolet en plastique sera aussi lourdement condamné qu’avec un réel pistolet. C’est ce qu’on appelle une arme par intention je crois.

Dans le cas d’un téléphone verrouillé par le processus normal de verrouillage fourni par le fabricant, je ne vois pas comment la solution de cette entreprise serait plus légale qu’une autre. Ce qui est légal c’est le fait que la justice autorise le « cassage » des protections.

Cela reste du cassage de protection. Comme la police qui s’offre les services d’un serrurier pour ouvrir une porte suite à la demande d’un juge.

Mon point précisément ? Ne dites pas que la solution de cette entreprise est « légale », elle est utilisée dans un cadre légal, c’est tout à fait différent.

D’autant qu’on peut imaginer que pour y parvenir, il a pu y avoir pas mal d’actes illégaux de reverse-engineering.