La couverture médiatique d'un billet de blog rédigé par Cellebrite a fait sortir Signal de ses gonds. Non l'entreprise israélienne n'a pas cassé son chiffrement. En réalité, elle est seulement parvenue à collecter les données de l'application lorsque le smartphone est déverrouillé.

Tout part d’un article du très sérieux journal israélien Haaretz, publié le 14 décembre « Une entreprise israélienne de piratage de téléphone prétend qu’elle peut maintenant pénétrer sur l’app chiffrée Signal ». Le journal reprend certains termes d’un communiqué de l’entreprise Cellebrite, qui a ensuite été étrangement supprimé avant d’être remis en ligne avec moins de détail.

Cellebrite a construit sa réputation sur différents coups d’éclat, notamment dans le piratage des iPhone. Son avancée, présentée comme telle, paraissait à la fois révolutionnaire dans la lutte contre les criminels qu’inquiétante pour son usage répressif potentiel. L’information a donc fait le tour des journaux dans le monde, jusqu’à ce que la BBC publie un article le 23 décembre, intitulé « Signal : Cellebrite prétend avoir cassé le chiffrement de l’app de conversation ». À la manière d’un bouche-à-oreille qui aurait déformé le propos initial : « pénétrer sur l’app » est devenu « casser le chiffrement ». Deux manipulations techniques bien différentes, sur lesquelles nous reviendrons.

Les conversations protégées par Signal restent sûres. // Source : Melvyn Dadure pour Numerama

L’article de la radio britannique a été la goutte de trop pour la fondation Signal, qui s’est fendue d’un billet de blog acerbe, intitulé « Non, Cellebrite ne peut ‘pas casser le chiffrement de Signal‘ ». En France, le site 01Net avait déjà fait ce travail de fact-checking avec un titre similaire.

En furie, Signal écrit : «  Hier, la BBC a publié un article avec [un] titre factuellement faux. Non seulement Cellebrite n’a pas cassé le chiffrement de Signal, mais Cellebrite n’a même pas prétendu l’avoir fait. » Il en profite pour qualifier l’entreprise Cellebrite de «  médiocre » et d’«  amateur ».

Cellebrite et Signal, ennemis naturels

Pour comprendre cette joute de communication, il faut connaître les deux camps. Cellebrite, d’abord, fournit des outils aux forces de l’ordre de pas moins de 154 pays, dont son appareil phare, le Ufed, pour « Universal Forensic Extraction Device ». Concrètement, cet outil embarque toutes sortes de programmes pour disséquer les protections de nombreux smartphones et applications, dans le but d’accéder à des informations confidentielles. Cellebrite est devenu célèbre en 2016 en permettant au FBI de déverrouiller l’iPhone 5C d’un des terroristes de la fusillade de San Bernardino. Depuis, elle s’illustre régulièrement par la publication de nouveaux outils contre les appareils d’Apple, ce qui complique d’autant plus la situation judiciaire tendue entre les deux entreprises.

Bien sûr, l’entreprise israélienne affirme que sa technologie ne sert qu’à arrêter terroristes et autres dangereux délinquants, des principes inscrits dans ses conditions générales d’utilisation. Mais ces promesses ne seraient vérifiées que dans un monde où ses différents clients respecteraient un usage strict de la technologie, et où Cellebrite le contrôlerait. Problème : ce monde n’existe pas. Cellebrite se fait donc régulièrement épingler par des ONG et des journaux pour l’utilisation de ses outils à des fins de répression dans des pays comme le Venezuela, l’Arabie Saoudite, l’Indonésie, ou plus récemment en Chine.

Le chiffrement de bout en bout, force de Signal

Signal, de son côté, s’est imposé comme un des principaux outils de conversation sécurisée grand public. À l’instar de WhatsApp ou iMessages, il propose un chiffrement de bout en bout, qui rend inefficace l’interception des conversations par les forces de l’ordre ou les cybercriminels. Et contrairement à l’app de Facebook, Signal publie tout son code en open source. Autrement dit, des personnes compétentes peuvent vérifier que l’app ne présente ni de faille ni de mécanisme de surveillance dissimulés.

Ces garanties de transparence ont fait de Signal un choix privilégié par de nombreux journalistes, activistes, et autres défenseurs des droits de l’Homme. Les manifestants de Hong Kong l’ont adoptée en masse au début de l’année 2020, au point que Signal a déployé une nouvelle fonctionnalité de floutage des visages pour soutenir le mouvement. Même le Parlement européen en a fait son standard de communication.

Vous l’aurez compris, Signal et Cellebrite sont des ennemis naturels. Le premier veut protéger les informations, le second veut casser ses protections.

Cellebrite peut lire les messages de Signal… si l’app est ouverte

Vient l’annonce de Cellebrite. Lorsque l’on s’y penche de près, il ne s’agit en réalité que d’une avancée mineure. L’entreprise israélienne a mis à jour son « Physical Analyzer » pour inclure la collecte automatique des messages de Signal, qu’elle ne permettait pas auparavant. Détails très importants : le Physical Analyzer ne fonctionne que sur un smartphone déverrouillé, et n’a pour mission que de collecter et organiser les données. Il n’intervient donc qu’après que l’Ufed a terminé son travail de pince à couper numérique. Autrement dit, au moment où le Physical Analyzer est lancé, ses utilisateurs pourraient déjà regarder à la main le détail des messages, sans faire appel à l’outil, qui ne fait qu’automatiser la tâche. Ils pourraient aussi utiliser un programme pour faire des captures d’écran de l’app.

L’entreprise israélienne présentait dans sa publication l’ajout de fonctionnalité comme le résultat d’une « recherche intensive » et insistait sur les «  obstacles » qu’elle avait surmontés pour parvenir au résultat. «  Cellebrite a dû réaliser que leur publication les faisait passer pour des amateurs, et l’a rapidement supprimé. Ils ont ensuite sûrement réalisé qu’une erreur 404 ne donnait pas meilleure impression, et ils l’ont donc encore remplacé avec un résumé vague », assène Signal, avant de porter le coup final : « Ce n’est pas de la magie, c’est juste un logiciel d’entreprise médiocre ».

À aucun moment Cellebrite n’a donc créé un outil capable de pénétrer Signal, et elle n’a certainement pas cassé le chiffrement de l’app, qui fait figure de référence mondiale. Signal conclut son billet de blog en rappelant qu’il propose des fonctionnalités de conversation éphémère pour contourner le scénario où Cellebrite aurait accès au smartphone déverrouillé.

Pour réellement contourner les protections offertes par Signal, il faudra donc passer par un autre chemin. C’est pourquoi les élus européens proposent à intervalle régulier l’écriture de loi pour insérer une porte dérobée (backdoor) dans le chiffrement, à destination des forces de l’ordre…

Crédit photo de la une : CCO/WIkimedia

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux