Mercredi 21 avril 2021, le fondateur de Signal Moxie Marlinspike a signé une analyse assassine de la célèbre machine de hacking de smartphone de l’entreprise israélienne Cellebrite. Son article a fait grand bruit dans le milieu de la cybersécurité : d’après le développeur, le logiciel de Cellebrite présenterait plus d’une centaine de vulnérabilités, qui seraient faciles à exploiter.

Concrètement, Marlinspike évoque la possibilité de créer un fichier capable de corrompre l’analyse en cours de la machine, mais aussi ses rapports passés et futurs. Ce fichier malveillant serait attaché discrètement à une ou plusieurs apps du smartphone analysé. Une sorte de piège tendu au cas où l’appareil serait confisqué.

ustar rm660.jpg

Signal a livré une analyse assassine sur Cellebrite. // Source : CCO/WIkimedia

Cellebrite a construit sa réputation sur ses outils de piratage de l’iPhone. Ses machines sont aujourd’hui utilisées par les forces de l’ordre de plus d’une centaine de pays, dont certains peu regardants sur les droits de l’Homme. Elles permettent de débloquer les enquêtes en fouillant dans les smartphones des prévenus à la recherche d’informations compromettantes supplémentaires. En conséquence, les analyses sorties par la machine peuvent servir de preuve à l’égard de la justice, et mener à la condamnation des prévenus.

Particulièrement agacé par Cellebrite, le fondateur de Signal avait pour objectif clair de porter atteinte à la réputation de son ennemi naturel. Si son propos est confirmé, un doute permanent pourrait planer sur les analyses livrées par la machine de Cellebrite. Par effet domino, ce doute pourrait se transmettre aux conclusions des enquêtes policières, et en bout de chaîne aux condamnations qui en résulteraient.

Un avocat demande un nouveau procès

C’est justement sur cette base que l’avocat américain Ramon Rozas espère faire réévaluer la peine d’un de ses clients, condamné pour vol armé, rapporte Gizmodo. Il insiste sur le fait que les preuves apportées par Cellebrite étaient centrales dans le dossier à charge. « Un nouveau procès devrait être ordonné, afin que la défense puisse examiner le rapport produit par l’appareil de Cellebrite suite aux [révélations sur ses failles], et qu’elle puisse examiner l’appareil de Cellebrite lui-même », plaide-t-il.

Au début réservé à des dossiers sensibles — comme le terrorisme ou la pédopornographie –, l’utilisation des appareils de Cellebrite s’est étendue au fil des années à des affaires courantes. Il n’est plus rare que dans certains pays, les enquêteurs l’utilisent pour des affaires de vol ou de petite délinquance par exemple. Les preuves collectées par la machine peuvent ainsi occuper une place importante dans le dossier à charge.

Problème : si le constat de Marlinspike est confirmé, ces preuves pourraient être remises en cause. Et l’autre problème, c’est que la loi n’a pas anticipé ce genre de situation. En conséquence, les jours à venir pourraient mener à la production de jurisprudences inédites, qui serviraient de cadre à l’utilisation future des appareils similaires à ceux de Cellebrite.

Reste que si les vulnérabilités existent, aucun scénario d’attaque similaire à celui imaginé par Marlinspike n’a encore été détecté. Autrement dit, la demande de Rozas pourrait être déboutée, car il lui faudrait prouver que l’appareil utilisé par les enquêteurs a été victime d’une cyberattaque.

Cellebrite apporte des correctifs à son outil

Coïncidence ou non, Cellebrite a effectué une mise à jour de sécurité de ses produits lundi 26 avril, d’après Motherboard. Sans nommer l’analyse de Signal, l’entreprise a écrit à ses clients que son correctif répond « à des vulnérabilités de sécurité récemment identifiées ».

Si Cellebrite ne fait pas le lien avec le récent épisode médiatique, elle l’a tout de même commenté, afin de rassurer sa clientèle : « sur la base de nos analyses, nous n’avons trouvé aucune preuve que cette vulnérabilité serait exploitée activement. » La mise à jour ne serait qu’à titre de « précaution » et non en réponse à un incident. Suffisant pour garder la confiance de ses clients ?

une comparateur meilleur gestionnaire mdp numerama

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !