Cellebrite : l'arme absolue (et secrète) pour pirater les iPhone
Les iPhone sont connus pour être inviolables, Apple y a veillé ! Pourtant, Cellebrite a mis au point un logiciel permettant d'accéder au contenu des appareils, y compris les plus sécurisés ! Une technologie pour le moins controversée…
Le nombre de smartphones, capables de stocker messages, photos, historique de localisation, messageries instantanées et applications diverses, a explosé ces dernières années, au point que les forces de l'ordre ont plus que jamais besoin d'y accéder dans le cadre de leurs enquêtes. Mais ce n'est pas une chose aisée, car les constructeurs mettent en place des protections, notamment en chiffrant les données et en les protégeant par mot de passe. La tâche est particulièrement ardue avec les iPhone, car les données sont cryptées et stockées dans un format propriétaire qui ne peut être lu que par les appareils Apple.
Mais certaines entreprises se sont spécialisées dans la commercialisation de logiciels et de matériels d'extraction de données des téléphones mobiles. C'est le cas de Cellebrite, une entreprise fondée en 1999 en Israël et qui appartient depuis 2007 au groupe nippon Sun Corporation, qui a su se faire une jolie – et controversée – réputation dans le secteur, notamment grâce à son logiciel Universal Forensics Extraction Device (UFED). Celui-ci permet de pirater smartphones, drones, cartes SIM, cartes SD, appareils GPS et, bien évidemment, iPhone protégés par mot de passe, selon le site Web de l'entreprise. Pas étonnant que les forces de l'ordre, les armées et les services secrets de nombreux gouvernements, ainsi que de nombreux experts judiciaires fassent appel à elle ! Elle a même lancé Cellebrite Premium, un service qui promet un "accès sans précédent à tous les appareils iOS et Android haut de gamme". Les propriétaires d'iPhone 14 peuvent trembler ! Toutefois, une telle technologie est loin de faire l'unanimité et en inquiète plus d'un, car l'équilibre entre la sécurité publique et la liberté est difficile à trouver et à maintenir.
Cellebrite : le spécialiste de l'extraction d'informations
La popularité de Cellebrite a explosé en 2016, lorsqu'un juge fédéral américain a ordonné à Apple de collaborer avec le FBI pour forcer l'iPhone de l'un des tireurs de San Bernardino, en Californie. La firme à la pomme s'était vivement opposée à l'ordonnance, afin d'éviter de créer un dangereux précédent avec des risques de sécurité – une position qu'elle maintient toujours. Aussi, l'attention des forces de l'ordre et du grand public se sont tournées vers les entreprises de ce genre, et Cellebrite avait été "soupçonné" d'avoir proposé son aide aux autorités américaines – au final, on ne sait pas vraiment qui leur a permis de venir à bout de l'iPhone. Sur son site, Cellebrite revendique que "plus de 6 700 organisations de sécurité publique au niveau fédéral, étatique ou local dans plus de 140 pays font confiance à la plateforme et [à ses] services bout-en-bout d'intelligence numérique". En France, l'entreprise a remporté en 2019 un marché public de quatre ans pour la fourniture de systèmes d'extraction et d'analyse de données téléphoniques pour la police, la gendarmerie, la douane, et une direction du ministère des Affaires étrangères.
Forcément, avec une telle technologie, on peut s'inquiéter de l'aspect légal de la chose, et des dérives qu'elle pourrait entraîner. "Cellebrite dispose d'un cadre solide et transparent pour régir l'utilisation licite de notre technologie et maintenir un équilibre approprié entre les intérêts de la sécurité publique et de la vie privée", a tenu à nous indiquer l'entreprise. "Nous vendons notre technologie uniquement à des entreprises, des organismes et des agences qui respectent les conditions qui régissent son utilisation appropriée, telles que décrites dans notre accord de licence d'utilisateur final (CLUF)". De plus, Cellebrite explique ne pas vendre aux pays sanctionnés par les gouvernements des États-Unis, de l'UE, du Royaume-Uni et d'Israël, ou qui figurent sur la liste noire du Groupe d'action financière (GAFI). Ainsi, elle assure avoir choisi de ne pas faire d'affaires au Bangladesh, en Biélorussie, en Chine, à Hong Kong, à Macao, en Russie et au Venezuela.
Cellebrite : un difficile équilibre entre liberté et sécurité
Les logiciels de Cellenbrite sont précieusement gardés sous clé. Techcrunch rapporte que l'entreprise spécialisée dans l'extraction de données aurait même demandé aux forces de l'ordre, via une vidéo de formation, de garder l'utilisation de sa technologie aussi secrète que possible. "Nous ne voulons pas que des techniques soient divulguées au tribunal par le biais de pratiques de divulgation ou, en fin de compte, lors d'un témoignage, lorsque vous êtes assis à la barre, que vous présentez toutes ces preuves et que vous discutez de la manière dont vous avez accédé au téléphone", explique-t-elle. Une façon d'éviter de faciliter la tâche aux criminels, en les aidant à éviter d'être confondus par leur technologie et à en concevoir une similaire. Une position qui inquiète cependant certains juristes, qui estiment que les autorités doivent être transparentes pour qu'un juge autorise les perquisitions ou l'utilisation de certaines données et preuves devant le tribunal.
Selon eux, le secret de Cellebrite porte atteinte aux droits des accusés et, par extension, aux droits du public. Il est primordial que la défense et le tribunal puisse comprendre comment fonctionnent la technologie, comment les données ont été obtenues grâce à elle, afin de pouvoir déterminer s'il y a eu ou non un problème juridique dans la manière dont ces preuves ont été collectées ou si des défauts ont pu affecter les résultats. Reste que Cellebrite ne fait que fournir sa technologie tout en appelant ses clients à agir dans le cadre de la loi.
"Nous permettons à nos forces de l'ordre de collecter, d'examiner, d'analyser et de gérer les données de manière légale et vérifiable – lorsqu'elles sont assignées à comparaître par un juge après un crime – et nous leur fournissons des solutions pour le faire de manière éthique tout en protégeant la vie privée", nous a déclaré l'entreprise. "Nous avons des politiques et des restrictions de licence strictes pour régir la manière dont les forces de l'ordre utilisent notre technologie".
Cellebrite : une technologie à ne pas mettre entre toutes les mains
Mais même si les clients de Cellebrite respectaient parfaitement la loi, on peut légitimement craindre que les pays autoritaires, les groupes criminels et les cybermercenaires puissent, à terme, être en mesure d'exploiter ces dispositifs pour commettre des crimes, réduire l'opposition au silence ou porter atteinte à la vie privée des gens. Car, comme toute entreprise, Cellebrite n'est elle-même pas à l'abri des fuites de données.
En janvier dernier, environ 1,7 téraoctet de données de la société se serait retrouvé sur le Dark Web à cause de hacktivistes, qui avaient justifié leur diffusion en assurant que les logiciels de l'entreprise étaient utilisés pour "collecter des informations sur des journalistes, des militants et des dissidents", y compris dans des cas de violation des droits humains. Selon le site Hackread, l'archive des données fuitées de Cellebrite rassemblait la suite complète des programmes de l'entreprise, dont son logiciel phare UFED. Toutefois, l'entreprise assure n'avoir pas été piratée. "Les données en question contiennent des fichiers accessibles aux forces de l'ordre et ne fonctionneront pas sans licence active. L'écrasante majorité de ces fichiers sont des cartes du monde et des packs de traduction, qui ont probablement été inclus pour gonfler la taille et attirer une attention indue", nous explique-t-elle. En espérant que cela dure, le risque zéro n'existant pas !