« Leur logiciel est souvent associé au contournement de la sécurité, alors prenons le temps d’examiner la sécurité de leur propre logiciel ». Fait rare, le créateur et CEO de Signal Moxie Marlinspike, s’est livré à l’analyse d’un logiciel tiers sur le blog de son entreprise. Dans son viseur : l’entreprise controversée Cellebrite, et plus précisément son outil phare, l’UFED (Universal Forensic Extraction Device). Habituellement, le blog de Signal se consacre exclusivement aux nouveautés et à l’actualité de l’app de messagerie. Mais cette fois, Marlinspike a décidé d’utiliser cette plateforme pour tacler un adversaire.

Car oui, Signal et Cellebrite sont des ennemis naturels. Le premier s’efforce de protéger les informations échangées par ses utilisateurs sans distinction, qu’ils soient activistes, criminels, lanceurs d’alertes ou  journalistes. Le second fournit aux forces de l’ordre de plus de 150 pays un outil pour hacker les smartphones confisqués, et en extraire les informations. Cellebrite a construit sa réputation sur quelques coups d’éclat, et sur sa communication autour du piratage des iPhone — jusqu’à très récemment, elle était soupçonnée d’avoir aidé le FBI à pénétrer le modèle 5C d’un terroriste, dans une affaire extrêmement médiatisée. Bref, Cellebrite est certainement la plus célèbre des entreprises de son secteur. Mais ce n’est pas toujours pour les bonnes raisons : ONG et médias ont pointé, à de multiples reprises, l’utilisation de ses outils à des fins de répression, que ce soit Venezuela, en Russie, en Chine, ou encore en Arabie Saoudite.

ustar rm660.jpg

Signal livre une analyse assassine sur Cellebrite. // Source : CCO/WIkimedia

Malgré cette opposition naturelle, les deux entreprises s’ignoraient jusqu’à décembre 2020, lorsque Cellebrite a expliqué que son outil de piratage intégrait désormais la lecture des messages de Signal. Cette information a fait l’objet d’une séquence médiatique ratée, au terme de laquelle la BBC a publié un article mensonger : « Signal : Cellebrite prétend avoir cassé le chiffrement de l’app de conversation ». En réalité, Cellebrite ne peut qu’automatiser la collecte et la lecture des messages de Signal sur un smartphone déjà déverrouillé, et n’a jamais prétendu faire plus.

Cette histoire a mis Moxie Marlinspike en rogne. Il s’était fendu d’un billet de blog assassin à destination de la BBC dans lequel il qualifiait Cellebrite de « médiocre » et « d’amateur ». Cette fois, il a profité d’obtenir une des machines de l’entreprise pour joindre des faits techniques à ses propos.

Plus de 300 failles dans les logiciels de Cellebrite

D’abord, le créateur de Signal rappelle les bases : l’outil de Cellebrite doit être connecté par un câble au smartphone que l’utilisateur veut hacker. Leur principal logiciel permet ensuite d’ouvrir, en théorie, n’importe quelle app d’un appareil déverrouillé et d’y collecter toutes sortes d’information (des captures d’écrans notamment), dans un format lisible sur ordinateur.

C’est dans l’organisation de cette collecte que Marlinspike a trouvé des vulnérabilités : « les données que le logiciel de Cellebrite doit extraire puis afficher sont au final générées et contrôlées par les apps de l’appareil ». Autrement dit, d’après Signal, une app pourrait mentir à Cellebrite sans qu’il s’en rende compte, puisque son logiciel ne dispose d’aucun mécanisme de vérification de l’information qu’il reçoit.

« Aucune limite »

« Nous avons été surpris de découvrir que très peu d’attention semble avoir été donnée par Cellebrite à la sécurité de son propre logiciel », écrit l’auteur. Il tire un bilan catastrophique : les défenses considérées comme basiques dans ce genre d’industrie seraient absentes, et les logiciels seraient construits sur des briques technologiques qui ne seraient pas à jour, certaines depuis 2012.

Conséquence de ce manque d’entretien, Signal affirme avoir décelé plus de 300 vulnérabilités, pourtant connues et corrigées, sur le logiciel. Ces 300 failles sont autant d’angles d’attaques pour les hackers, et elles permettraient « d’exécuter du code de façon arbitraire sur une machine Cellebrite », c’est-à-dire de modifier le logiciel des machines Cellebrite à sa guise. Comment ? Vidéo à l’appui, Signal a créé un fichier qui peut être ajouté à n’importe quelle app sans modifier son fonctionnement. Une fois branchée au smartphone, la machine de Cellebrite scannera l’application, et extraira automatiquement le fichier piège. « Il n’y a virtuellement aucune limite sur le genre de code que l’on peut exécuter », insiste Signal.

Un fichier piégé pour corrompre la machine de Cellebrite

D’après Marlinspike, le fichier piégé pourrait falsifier le rapport sur le smartphone analysé par la machine. Mieux, il pourrait corrompre tous les rapports émis par la machine, anciens comme futurs, en ajoutant ou retirant toutes sortes de données (messages, emails, photos, contacts, document….). Encore plus : des malfaiteurs pourraient aller jusqu’à dérober des informations en détournant la machine. Le tout, sans laisser de trace. De quoi remettre en question l’efficacité des machines, et donc la réputation de Cellebrite. Si les failles pointées du doigt par Signal étaient exploitées, elles pourraient mettre en grand péril le business de l’entreprise israélienne. Du moins, jusqu’à ce qu’elle corrige la majorité des vulnérabilités.

Au terme de son analyse accablante, Signal porte un coup final : « Nous sommes bien sûr disposés à divulguer de façon responsable les vulnérabilités dont nous avons connaissance à Cellebrite, s’ils font de même avec toutes les vulnérabilités qu’ils utilisent pour leurs outils d’extractions  ». Autrement dit, Signal n’aidera Cellebrite que si ce dernier met fin à son fonds de commerce. Signal 1, Cellebrite 0, balle au centre.

Source : Numerama

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !