Signal pirate Cellebrite : ultimatum lancé au logiciel de surveillance d'espionnage
27/4/2021
Traduction: Sophie Boissonneau
L'équipe de Moxie Marlinspike, fondateur de Signal, s'est intéressée à un logiciel d'analyse que la police utilise pour exploiter les données de votre smartphone. Ils ont trouvé des failles de sécurité flagrantes et des tactiques potentiellement illégales.
Le dispositif serait tombé du camion, affirme le fondateur de Signal et pirate informatique Moxie Marlinspike dans un article du blog de sa messagerie Signal (Google Android et Apple iOS). Il a ainsi pu mettre la main sur un kit d'analyse du fabricant de logiciels Cellebrite et faire sensation. Moxie et son équipe ont creusé ses entrailles et analysé le logiciel.
Cela leur a permis d'identifier d'importantes lacunes côté sécurité. Signal menace aujourd'hui d'exploiter ces failles.
Un logiciel d'espionnage pour la police
Cellebrite est une société israélienne produisant des logiciels et ayant son siège à Petah Tikva. Fondée en 1999 par Avi Yablonka, Yaron Baratz et Yuval Aflalo, l'entreprise est spécialisée dans la surveillance des appareils mobiles. Les logiciels « Physical Analyzer » et « UFED » sont utilisés par les forces de police et les gouvernements du monde entier. Ce logiciel n'est pas disponible publiquement, du moins en théorie, et son fonctionnement exact n'est expliqué nulle part.
Physical Analyzer et UFED sont utilisés pour extraire les données des smartphones et les analyser.
Pour cela, Moxie Marlinspike précise que l'utilisateur de Cellebrite doit avoir physiquement le smartphone cible dans ses mains. Les produits Cellebrite ne permettent pas d'accéder aux données via Internet ou les réseaux sans fil.
Les produits de Cellebrite sont associés à des gouvernements qui n'ont pas le respect des droits de l'Homme à cœur : « La liste des clients de la société compte notamment des régimes autoritaires en Biélorussie, Russie, au Venezuela et en Chine, des escadrons de la mort au Bangladesh, des juntes militaires comme au Myanmar et des régimes oppresseurs en Turquie, aux Émirats arabes unis et ailleurs », écrit Moxie.
Le fournisseur israélien annonçait également il y a quelques mois que Signal serait pris en charge par Cellebrite. Moxie explique que cela ne signifie aucune que Cellebrite a décrypté le chiffrement de Signal. Selon lui, cette fonction ne ferait que décrire le processus « ouvrir l'application, voir les messages » automatisé par Cellebrite et nécessiterait que le smartphone soit déverrouillé.
Le piratage de Cellebrite : glossaire succinct
Il y a quelques termes et concepts de base à connaître pour comprendre ce que Moxie Marlinspike a fait exactement et pourquoi aucun système juridique ne devrait utiliser les logiciels de Cellebrite dans ses affaires.
UFED
UFED est un logiciel de Cellebrite. Il est censé pouvoir contourner « légalement » les codes PIN, schémas et mots de passe des smartphones lorsqu'ils sont verrouillés. Plusieurs mécanismes de collecte de données sont conçus pour contextualiser les données « légalement » extraites afin d'en tirer encore plus d'informations. UFED serait également en mesure d'accéder « légalement » à une quarantaine d'applications. Ses fonctionnalités de base en font un simple logiciel de sauvegarde. Pour Cellebrite, il est important que vous sachiez qu'ils font tout dans les règles.
Sur demande, UFED peut être livré préinstallé sur un ordinateur portable durci de Panasonic, permettant ainsi l'exploitation des données en déplacement.
Physical Analyzer
Physical Analyser est un autre logiciel de Cellebrite. Il déchiffre les données extraites par UFED et les présente visuellement. Moxie présente le logiciel comme une « interprétation visuelle de adb backup », c'est-à-dire une jolie représentation d'une sauvegarde. Pour ce faire, Physical Analyser doit être en mesure de lire les données de votre smartphone, c'est-à-dire qu'il doit avoir un accès en lecture. L'accès en écriture n'est pas obligatoire, mais il est tout de même inclus.
Sur demande, Physical Analyzer peut-être livré préinstallé sur un poste de travail spécialement optimisé pour le programme, accélérant ainsi le traitement des données collectées par UFED.
UFED et Physical Analyser sont généralement vendus comme un ensemble. Il est rare qu'un gouvernement ou un régime commande UFED sans Physical Analyser et vice versa. Vous pouvez vous le représenter comme la suite Microsoft Office des logiciels de surveillance.
ffmpeg
ffmpeg est un logiciel libre. Depuis sa création en 2000, ffmpeg a été développé et utilisé dans des dizaines de projets par d'autres éditeurs de logiciels. ffmpeg peut convertir des vidéos, les découper, modifier le son et bien plus encore.
Dans le milieu de la sécurité informatique, ffmpeg est connu pour communiquer ouvertement de nombreuses vulnérabilités et les corriger rapidement. L'existence de nombreuses vulnérabilités ne dit rien de la sûreté d'un logiciel, ça n'est pas nécessairement lié. Cela peut aussi témoigner de la proactivité de l'équipe de ffmpeg et de sa transparence.
Comme le montre la liste des vulnérabilités de MITRE, il existe 355 vulnérabilités publiquement connues à ce jour. La plupart ont normalement été corrigées. Il convient donc d'effectuer toutes les mises à jour du logiciel lorsque l'on utilise ffmpeg.
Arbitrary Code Execution
L'arbitrary code execution, également appelé arbitrary code injection ou code arbitraire en français, est une technique utilisée par les pirates informatiques. Ils peuvent, par exemple, exploiter une vulnérabilité et faire en sorte qu'un programme exécute du code arbitraire. Le code peut tout faire, de l'affichage d'un message d'erreur à la collecte de mots de passe et d'informations sur les cartes de crédit.
Ce code arbitraire est également appelé « code spécifique ». Il est formaté, selon le jargon, d'une « manière inattendue ». Cela signifie que le logiciel vulnérable reçoit une entrée qu'il ne peut pas gérer et réagit de manière inattendue. Exemple : en tapant du code dans un champ de recherche, vous pouvez provoquer un message d'erreur.
Trusted/Untrusted Sources
Les sources fiables ou non, décrivent un concept dans la communication logicielle. Lorsqu'un logiciel A communique avec un logiciel B, il doit y avoir un contrat de confiance. En gros, les programmes déclarent « Oui, je te fais confiance pour ne pas faire n'importe quoi avec mes données ».
Il est possible que le logiciel A envoie des données à un programme auquel il ne fait pas confiance. On parle alors de untrusted sources.
Le concept des trusted/untrusted sources est principalement utilisé dans le contexte des smartphones. Lorsque vous installez une application provenant de l'App Store, elle provient d'une source fiable. Si vous l'obtenez via sideloading manuel ou depuis un catalogue d'applis tiers, la source n'est pas fiable.
Les logiciels empêchent généralement la communication avec des sources non fiables, sauf si l'utilisateur l'autorise explicitement.
Les vulnérabilités du logiciel de Cellebrite
L'enquête de Moxie a trouvé une variété de vulnérabilités. Il y a deux raisons à cela :
- Cellebrite ne semble pas particulièrement intéressé par la sécurité de ses logiciels,
- le logiciel de Cellebrite est classé comme « non fiable » par tous les appareils et programmes. Parce que même en tant que concept de base, UFED et Physical Analyser doivent être considérés comme « non fiables ». Aucun fabricant de smartphones ne prévoit le mode de fonctionnement des produits Cellebrite, car les sauvegardes non autorisées et le déchiffrement ne sont pas intégrés ni dans iOS d'Apple ni dans Android de Google.
« Presque tout le code de Cellebrite est conçu pour traiter des entrées non fiables », écrit Moxie.
Si jamais ses logiciels venaient à être classés comme non fiables, Cellebrite serait en très mauvaise position sur le plan juridique. En effet, si la méthode d'extraction des données n'est pas fiable, les résultats ne le sont pas non plus. Car dans le contexte d'une preuve solide, l'intégrité de ladite preuve est d'une importance capitale.
Ce genre de logiciel doit absolument être maintenu à jour si l'on veut obtenir la meilleure intégrité possible des données. Or, Moxie a découvert des composants ffmpeg datant de 2012 dans le code. Cela a déjà ouvert la porte à toutes sortes de manipulations avec les données extraites par Cellebrite.
Cellebrite vole Apple
De plus, l'équipe de Signal a découvert que les logiciels de Cellebrite contiennent des fichiers nommés AppleApplicationsSupport64.msi et AppleMobileDeviceSupport6464.msi. La firme israélienne les aurait récupérés dans l'installateur Windows de la version 12.9.0.167 d'iTunes en 2018.
Cellebrite n'a pas le droit de faire ça.
Apple certifie ses données et les personnes qui sont autorisées à les manipuler, et établit également dans quel contexte cela peut se produire. Suivant la position générale d'Apple en matière de confidentialité, on peut supposer que Cellebrite a utilisé ces fichiers sans autorisation. Comme le site web de Cellebrite aime à vous le répéter, la société a à cœur de tout faire dans la légalité.
Cela pourrait avoir des conséquences si Apple entamait une action en justice contre Cellebrite.
Moxie détruit Cellebrite
Moxie a trouvé au moins une vulnérabilité relevant de l'exécution de code arbitraire. Lorsqu'un un pirate découvre une telle vulnérabilité, plusieurs options s'offrent à lui.
Moxie a réussi à automatiser ce processus dans le cadre du logiciel de Cellebrite. Lorsque Physical Analyzer et UFED sont confrontés à un fichier contenant du code arbitraire, le logiciel de Cellebrite interprète simplement ce code. Ce fichier peut être inclus dans n'importe quelle application.
Pire encore : Moxie peut manipuler tous les rapports du logiciel Cellebrite avec un seul fichier. Cela signifie non seulement le rapport auquel le fichier appartient, mais aussi tous les rapports passés et futurs. Et tout cela sans déclencher la moindre irrégularité dans le contrôle d'intégrité. En d’autres termes, Moxie a trouvé un moyen d'écrire des données dans UFED et Physical Analyser, rendant ainsi toute utilisation du logiciel vaine.
Dans une vidéo, Moxie montre comment il fait apparaître un message d'erreur dans un logiciel Cellebrite lors d'un scan normal. Une citation du film Hackers s'affiche alors.
La conclusion de Moxie : si les utilisateurs de Cellebrite veulent obtenir des résultats fiables, mieux vaut ne pas utiliser les logiciels de Cellebrite.
Signal veut aider Cellebrite
Moxie Marlinspike et Signal se rangent du côté des hackers white hat, et se sentent responsables. Leur objectif est d'aider les fabricants à réparer et à améliorer leurs logiciels. Et cela, même si le logiciel en question conduit à la souffrance et à la mort.
Signal pose cependant une condition à cela : « Nous sommes, bien sûr, disposés à montrer à Cellebrite les vulnérabilités spécifiques de leur logiciel, à condition que Cellebrite indique à tous les fournisseurs de logiciels les vulnérabilités qu'ils exploitent lorsqu'ils analysent des smartphones. Ils doivent le faire maintenant, mais aussi continuer à le faire à l'avenir. »
Par ailleurs, et « sans aucun rapport » avec cette affaire, Moxie a annoncé que Signal serait bientôt agrémenté de dossiers esthétiques. Ces fichiers ne sont pas destinés à interagir avec la fonctionnalité ou quoi que ce soit d'autre dans l'application Signal et sont uniquement destinés à la beauté de l'application. Signal a même précisé que plusieurs fichiers fondamentalement différents seraient distribués aléatoirement dans toutes les installations. Moxie nous assure cependant qu'ils sont tous jolis. « L'esthétique du logiciel est importante », écrit Moxie. On peut aisément imaginer que Signal comprendra très bientôt le fichier pour corrompre Cellebrite.
Journaliste. Auteur. Hackers. Je suis un conteur d'histoires à la recherche de limites, de secrets et de tabous. Je documente le monde noir sur blanc. Non pas parce que je peux, mais parce que je ne peux pas m'en empêcher.
