Les boîtiers d'extraction de données de Cellebrite à pas cher sur eBay
On peut trouver des boîtiers Cellebrite de déverrouillage d’iPhone sur eBay, à des prix allant de 100 $ à 1 000 $ pièce. Une affaire, sachant que ces appareils sont vendus « prix catalogue » à 6 000 $… L’entreprise israélienne, qui fait affaire avec les autorités de police un peu partout dans le monde et en particulier aux États-Unis, n’est pas franchement ravie de voir éclore ce marché de seconde main, explique Forbes.
Cellebrite UFED classic exploits & functions - I got this gem at an auction - has SIM card cloning features (elite) pic.twitter.com/xmLCgVO7iG
— Hacker Fantastic (@hackerfantastic) February 11, 2019
Il y a trois ans environ, les activités de Cellebrite ont connu une certaine médiatisation, et pour cause : la technologie développée par cette société permet de fouiller dans les appareils iOS verrouillés, ainsi que dans de nombreux smartphones du marché (lire : Voilà à quoi ressemble une extraction de données d'un iPhone par Cellebrite). Cela a fait la fortune de l’entreprise, qui a vendu des millions de dollars de machines aux forces de l’ordre.
Mais Cellebrite ne s’attendait pas à ce que certaines unités se retrouvent mises à l’encan1. Plutôt que de retourner les boîtiers au constructeur pour les désactiver proprement, les propriétaires les vendent sur eBay sans nécessairement supprimer les données qui trainent à l’intérieur.
Ça n’a pas manqué : un chercheur en sécurité, Matthew Hickey, a mis la main sur une dizaine de ces appareils et a pu en extraire de précieuses informations. Liste et nature des appareils déverrouillés (dont les numéros IMEI), la date de la fouille, et le type de données récupérées. Il aurait même pu aller plus loin et siphonner des listes de contacts et des conversations de messageries…
Mis entre de mauvaises mains, ces boîtiers d’occasion pourraient servir de coffres à données pour toutes sortes d’opérations délictueuses. À l’inverse, ces appareils sont aussi une fenêtre sur les failles exploitées par Cellebrite pour pénétrer par effraction dans les smartphones : les constructeurs, Apple en tête, pourraient en tirer des informations intéressantes et boucher, le cas échéant, ces vulnérabilités.
Que faire de ces vieux boîtiers ? Pourquoi pas y installer Doom…
to those of you wondering, yes, the Cellebrite Touch can run Doom pic.twitter.com/DRNN2VinGX
— kim 👅 (@grufwub) February 21, 2019
-
Ces machines se retrouvent sur les sites de revente pour une raison simple : Cellebrite a lancé de nouveaux modèles équipés d’un logiciel mis à jour. ↩︎
Dans la mesure où Apple utilise déjà les boîtiers cellebrite pas sûr qu’ils en tireraient plus d’infos qu’ils n’ont déjà
Bon, ok, la vidéo montre que l’outil ne peut déverrouiller que jusqu’à l’iPhone 3G... par contre, je n’ai jamais compris pourquoi les ingénieurs faisaient des interfaces aussi pourries même pour du B2B...
@Norandy
Ce n’est ni leur préoccupation ni leur travail. Ils veulent que le programme fonctionne, soit optimisé, sécurisé et complet. C’est déjà beaucoup. C’est plutôt au dirigeant de la boîte d’imposer également un travail sur l’UX et l’UI.
Voilà pourquoi Apple na jamais créer de porte dérobé pour éviter que sa finisse entre de mauvaise main
"Que faire de ces vieux boîtiers ? Pourquoi pas y installer Doom…"
Personnellement c'est pas cette fausse touche d'humour en guise de conclusion qui éludera le problème gravissime de sécurité des téléphones. Et pas seulement Apple, qui certes, est l'entreprise dont la propagande est de loin la plus puissante concernant les données personnelles, l'environnement, etc, avec ses soldats médiatique au soutien inconditionnel, mais on voit clairement sur une des photos que TOUS les constructeurs y passent.
Alors si on peut acheter ça pour moins de 1000 dollars, vous imaginez bien que les tartufferies de pseudo gueguerre FBI / NSA avec les outils / budgets / connaissances qu'ils ont pour débloquer un iPhone, c'est du high level esbroufe puissance 1000.
Tant qu'on maintiendra les gens dans la naiveté, on ne pourra jamais réfléchir sereinement à des alternatives crédibles car c'est ça au fond la question: et maintenant? Qu'est-ce qu'on fait? Bcp diront "rien, j'ai rien à cacher" mais heureusement pas tous.
@R1x_Fr1x
La sécurité absolue n’existe pas. Même un coffre fort n’est pas inviolable, il y a toujours une clé de secours.
évidemment. Il y a toujours des morts sur les routes. Pourtant il y a le contrôle technique pour les véhicules, le code de la route pour les usagers et les sanctions pour qui ne respectent pas les règles. Et il y a toujours des morts. 0 mort est l'objectif ultime. Mais tous les efforts tendent vers cet objectif tout en étant conscient qu'on y arrivera pas.
Quelles sont les bonnes pratiques pour nos smartphones? Quelles sont les règles pour les constructeurs et les sanctions qui vont avec le cas échéant? On a l'impression que c'est la jungle. Que la vie privée est une option. Que même en parler est l'exclusivité de marginaux.
Qu'on le veuille ou non nos téléphones, ordis tablettes etc font parti intégrante de nos vies. Est-ce si fou de faire de la pédagogie sur les risques liés aux données, vie privée, réseaux sociaux, spams, arnaques, etc comme on le fait pour la sécurité routière dès l'école primaire?
@R1x_Fr1x
D’un côté on te vend des iPhones comme l’appareil ultime qui fait tout et connecté à tout (a tes comptes privés, tes données bancaire, ton électroménager, ton luminaire, tes enceintes, etc) c’est donc difficile pour l’utilisateur lambda de ne pas lâcher quelques données privées par ci par là.
Et encore plus quand les technologies de sécurité mises en avant par Apple telles que Touch ID et Face ID en mettent plein la vue (l’utilisateur se dit « ouaaahhh déverrouillage faciale il n’y a que dans les films qu’on voit ça. Personne n’accédera à mes données »
Dans ces conditions faire de la pédagogie c’est difficile.
PS : Que Celebrite ne fasse pas comme s’il navait pas envisager que ses boîtiers finissent par être vendus.
R1x_Fr1x, je ne comprends pas votre coup de sang ni votre propos
Tout ce que vous demandez est DEJA mis en oeuvre (par exemple la sensibilisation en école)
ainsi que tout un discours sur la sécurisation, responsabilisation etc.
Votre passage sur le "facetime en met plein la vue" est à la fois une exagération des pubs Apple (que vous semblez prendre en pleine face).
Ainsi qu'un propos moraliste et condescendant sur l'intelligence du public (dont vous faites parti, n'oubliez pas que pour le oomu vous n'êtes qu'un gens aléatoire d'internet, une statistique, un de ces "idiots d'électeurs qui comprend rien aux enjeux", etc).
En somme vous voulez qu'on fasse qu'on ne fasse pas déjà pour vous satisfaire ? Je suis prêt à me fouetter avec un cordon Ethernet sans gaine pour expier toute votre colère.
-
"Quelles sont les bonnes pratiques pour nos smartphones?"
Celles des chartes des boutiques en ligne. disponibles et des engagements des éditeurs, disponibles en ligne.
"Quelles sont les règles pour les constructeurs et les sanctions qui vont avec le cas échéant?"
Vous avez plusieurs lois aux niveaux européens, us, chine etc. En particulier, pour l'UE, le RGPD et la loi telecom qui sont riches de détails.
Vous avez aussi la prochaine directive, le "règlement sur la vie privée et communications électroniques" en préparation au sein de l'UE qui abordera et précisera encore une fois l'usage via apps, services, etc.
"On a l'impression que c'est la jungle."
Vous en avez cette impression.
"Que la vie privée est une option."
C'est effectivement une option, mais les éditeurs de services ont une obligation de transparence envers l'utilisateur.
Que cela soit par la loi, ou les exigences des gestionnaires de boutiques en ligne que sont App Store et Google Play.
"Que même en parler est l'exclusivité de marginaux. "
Ceci est absolument faux.
C'est régulièrement un sujet des reportages télé (sur fond de : "vous allez tous mourir, et maintenant un pub de lessive.")
La presse papier, de la plus analytique à la plus généraliste (tel 20mn) en parle régulièrement, autant par angle "scandale, facebook a encore facebooké !" que sur l'angle "notre société, cet étrange animal qui fait peur".
Et les politiciens en font un sujet régulier, sur fond d'hypocrisie "bouh les méchantes entreprises" et de "mais faut bien que la police bosse!"
et nous avons un patacaisse de forums, sites, documentaires, etc et d'internautes apeurés sur des forums consacrés à une marque fruitière pour en parler tout le temps.
C'est un vrai enjeux public. Moins important que la taxation du carburant pour nombre de personnes, mais c'est un sujet qui existe.
La mise en oeuvre du RGPD fut l'occasion d'en faire un sujet économique et commercial pour un très grand nombre d'entreprises de toutes tailles.
C'était à peine en mai dernier.
Rassurez vous, on remettra une énième couche encore , et un peu plus de paperasse au passage, pour la forme.
Bien sur ce sujet est aussi porté par des Oomu chevelus, des libristes post-FSF, la geekesque EFF, les gens dans leur garage de la Quadrature du net (ex: https://www.laquadrature.net/en/2019/01/21/first-sanction-against-google-following-our-collective-complaints/ )
et effectivement vous pourriez qualifier tout cela de Marginal.
Mais non, ce sujet est devenu un sujet régulièrement discuté sur les médias populaires et par toutes sortes de personnes.
Qui sont ces vendeurs eBay? De quelle origine?
@eric691
vivi. Comme le bon coin et YouTube pour le piratage de vidéos.
Ces machines n’intéresseront en aucun cas Apple...
En 2014 tous les Apple Store en étaient équipé pour transférer les données des clients qui passaient à l’iPhone. A l’époque Apple devait avoir de bonne entente avec Celebrite, ça ne doit plus être le cas maintenant.