Les machines de Cellebrite sont utilisées par les forces de l'ordre pour produire des preuves à charge contre les prévenus. Problème : elles seraient vulnérables à des attaques capables de corrompre leurs résultats. De quoi remettre en cause les conclusions de certaines enquêtes ?

Mercredi 21 avril 2021, le fondateur de Signal Moxie Marlinspike a signé une analyse assassine de la célèbre machine de hacking de smartphone de l’entreprise israélienne Cellebrite. Son article a fait grand bruit dans le milieu de la cybersécurité : d’après le développeur, le logiciel de Cellebrite présenterait plus d’une centaine de vulnérabilités, qui seraient faciles à exploiter.

Concrètement, Marlinspike évoque la possibilité de créer un fichier capable de corrompre l’analyse en cours de la machine, mais aussi ses rapports passés et futurs. Ce fichier malveillant serait attaché discrètement à une ou plusieurs apps du smartphone analysé. Une sorte de piège tendu au cas où l’appareil serait confisqué.

Signal a livré une analyse assassine sur Cellebrite. // Source : CCO/WIkimedia

Cellebrite a construit sa réputation sur ses outils de piratage de l’iPhone. Ses machines sont aujourd’hui utilisées par les forces de l’ordre de plus d’une centaine de pays, dont certains peu regardants sur les droits de l’Homme. Elles permettent de débloquer les enquêtes en fouillant dans les smartphones des prévenus à la recherche d’informations compromettantes supplémentaires. En conséquence, les analyses sorties par la machine peuvent servir de preuve à l’égard de la justice, et mener à la condamnation des prévenus.

Particulièrement agacé par Cellebrite, le fondateur de Signal avait pour objectif clair de porter atteinte à la réputation de son ennemi naturel. Si son propos est confirmé, un doute permanent pourrait planer sur les analyses livrées par la machine de Cellebrite. Par effet domino, ce doute pourrait se transmettre aux conclusions des enquêtes policières, et en bout de chaîne aux condamnations qui en résulteraient.

Un avocat demande un nouveau procès

C’est justement sur cette base que l’avocat américain Ramon Rozas espère faire réévaluer la peine d’un de ses clients, condamné pour vol armé, rapporte Gizmodo. Il insiste sur le fait que les preuves apportées par Cellebrite étaient centrales dans le dossier à charge. « Un nouveau procès devrait être ordonné, afin que la défense puisse examiner le rapport produit par l’appareil de Cellebrite suite aux [révélations sur ses failles], et qu’elle puisse examiner l’appareil de Cellebrite lui-même », plaide-t-il.

Au début réservé à des dossiers sensibles — comme le terrorisme ou la pédopornographie –, l’utilisation des appareils de Cellebrite s’est étendue au fil des années à des affaires courantes. Il n’est plus rare que dans certains pays, les enquêteurs l’utilisent pour des affaires de vol ou de petite délinquance par exemple. Les preuves collectées par la machine peuvent ainsi occuper une place importante dans le dossier à charge.

Problème : si le constat de Marlinspike est confirmé, ces preuves pourraient être remises en cause. Et l’autre problème, c’est que la loi n’a pas anticipé ce genre de situation. En conséquence, les jours à venir pourraient mener à la production de jurisprudences inédites, qui serviraient de cadre à l’utilisation future des appareils similaires à ceux de Cellebrite.

Reste que si les vulnérabilités existent, aucun scénario d’attaque similaire à celui imaginé par Marlinspike n’a encore été détecté. Autrement dit, la demande de Rozas pourrait être déboutée, car il lui faudrait prouver que l’appareil utilisé par les enquêteurs a été victime d’une cyberattaque.

Cellebrite apporte des correctifs à son outil

Coïncidence ou non, Cellebrite a effectué une mise à jour de sécurité de ses produits lundi 26 avril, d’après Motherboard. Sans nommer l’analyse de Signal, l’entreprise a écrit à ses clients que son correctif répond « à des vulnérabilités de sécurité récemment identifiées ».

Si Cellebrite ne fait pas le lien avec le récent épisode médiatique, elle l’a tout de même commenté, afin de rassurer sa clientèle : «  sur la base de nos analyses, nous n’avons trouvé aucune preuve que cette vulnérabilité serait exploitée activement. » La mise à jour ne serait qu’à titre de « précaution » et non en réponse à un incident. Suffisant pour garder la confiance de ses clients ?

Crédit photo de la une : Louise Audry pour Numerama

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux