Cellebrite peut extraire des données d’un iPhone sous iOS 12.3

Mickaël Bazoge |

Cellebrite a trouvé une nouvelle astuce pour débloquer les terminaux iOS. L’entreprise israélienne spécialisée dans l’intrusion de smartphones assure désormais à ses clients — agences de renseignement, police… — qu’elle est en mesure d’extraire des données de n’importe quel appareil mobile d’Apple d’iOS 7 jusqu’à iOS 12.3, ainsi que dans n’importe quel terminal Android.

Cellebrite a mis au point une nouvelle version de son outil Universal Forensic Extraction Device (UFED) qui lui permet d’accéder aux données d’applications tierces, aux messageries instantanées, aux courriels et à leurs pièces-jointes, et même au contenu supprimé. L’entreprise vante ses algorithmes « sophistiqués » qui réduisent le nombre de tentatives nécessaires au déverrouillage d’un appareil cible.

Cellebrite va un cran plus loin que son concurrent Grayshift, créateur du fameux boîtier GrayKey : selon Wired, ce dernier ne peut débloquer que certaines versions d’iOS 12, et il ne s’intéresse à Android que depuis peu. Le plus étonnant finalement dans cette histoire, c’est la manière dont Cellebrite communique sur UFED, de manière très publique. De quoi attirer l’attention non seulement d’Apple, mais aussi de futurs clients !

La société vend son appareil à un prix inconnu aux forces de l’ordre qui peuvent ensuite l’utiliser en fonction de leurs besoins. On les retrouvera peut-être sur eBay d’ici quelques mois, quand Apple aura trouvé comment boucher la faille (lire : Les boîtiers d'extraction de données de Cellebrite à pas cher sur eBay).

avatar kakaroth | 

?

avatar misterbrown | 

Être sous iOS 6

avatar stefhan | 

@misterbrown

?

avatar malos | 

Apple a intérêt à blinder et cadenasser iOS.
C’est effrayant de savoir ce qu’il est possible de faire de la part d’une entreprise extérieure à Apple.

avatar otisphone | 

Ce qui m’effraiera toujours c’est l’accès aux données supprimées... je comprends toujours pas quand on a supprimé un fichier qu’il en reste toujours des traces...

avatar Phiphi | 

@otisphone

Les systèmes d’exploitation n’effacent pas les données mais uniquement leur adresse dans l’index. C’est un peu si tu enlevais l’étiquette d’un casier sans pour autant le vider. Ce n’est qu’au moment d’écrire de nouvelles données que l’espace sera considéré comme libre au lieu d’occupé, un peu comme si le nouveau propriétaire du casier devait le vider lui même avant d’y remettre quelque chose. Et le nouveau propriétaire, s’il n’a pas besoin de toute la place, ne jette pas tout non plus, il pousse et ne jette que ce qui tombe.

avatar otisphone | 

@Phiphi

Merci pour l’explication. Du coup c’est encore pire que ce que j’imaginais ??

avatar alexis83 | 

@Phiphi

Top merci je ne savais pas que ça marchais comme ça je comprend mieux l’utilité de nettoyer l’espace libre ?

avatar Phiphi | 

@alexis83

Tout à fait. Nettoyer l’espace libre consiste à remettre tout le contenu de l’espace disponible à zéro ou bien à un contenu aléatoire suivant les outils. Par contre l’avantage du non nettoyage c’est qu’en cas de corruption de l’index, des outils permettent de le reconstruire en analysant le contenu. Cela revient dans mon exemple à ouvrir un casier dont l’étiquette est perdue et à refaire une étiquette. Cela a souvent sauvé à 98 ou 99 % des données chez des particuliers ne faisant pas de sauvegardes du temps ou une simple panne de courant pouvais provoquer des désastres.

avatar alexis83 | 

@Phiphi

D’accord a utiliser a bon escient du coup !
Tu as donc un logiciel efficace de récupération de données ?
J’ai déjà réussi à en récupérer mais beaucoup de fichier corrompus avec par exemple des pdf qui ne peuvent s’ouvrir ou alors 10fois le même pdf et un seul de bon, bref un tri à faire qui est extrêmement long !

avatar Phiphi | 

@alexis83

J’ai eu des logiciels sous Linux à une époque qui récupéraient franchement bien les disques formatés sous Dos mais il y a longtemps que je ne m’occupe plus de ce genre de trucs, et les problèmes sont devenus beaucoup plus rares (mais plus complexes quand ils se produisent) avec les systèmes plus modernes.

avatar alexis83 | 

@Phiphi

D’accord ?

avatar marvel63 | 

@Phiphi

Félicitations Phiphi pour cette parfaite vulgarisation du mode de fonctionnement. C’est très clair.

avatar Thanat0s | 

@otisphone

Sur un SSD le contrôleur empêche l’accès au informations marquées comme supprimées.
De plus il y a un chiffrement interne.
Donc pour être plus tranquille il faut abandonner les disques durs magnétiques.

avatar mouahaha | 

Ya pas de disque dur magnétique dans les smartphones. :)

avatar Thanat0s | 

@mouahaha

Sans blague ? Je savais pas...

avatar R1x_Fr1x | 

Qu'est-ce qui est le plus risible:

"Cellebrite a trouvé une nouvelle astuce" comprendre avant cette "nouvelle" astuce iOS était 100% safe

"à ses clients — agences de renseignement, police… —" comprendre ne vous inquiétez pas ils ne vendront rien aux particuliers sans une carte de la PJ de Paris, une entreprise n'a pas pour but de vendre mais elle sélectionne sa clientèle par idéologie libératrice

"On les retrouvera peut-être sur eBay d’ici quelques mois" eBay version — agences de renseignement, police...—

Si Cellebrite a une longueur d'avance, c'est aussi et surtout parce-qu'il ne s'agit pas d'une entreprise mais d'une coquille étatique. Les Russes, les Chinois et les US of course ont surement leur équivalent, disons juste qu'ils évitent de booker un stand aux foires et salons.

avatar ech1965 | 

Faut étudier le fonctionnement des mémoires flash pour comprendre pas il reste des traces... une un de magnétique c’était encore possible d’écraser le contenu d’un fichier avant de l’effacer mais même ça ne marche plus avec les flash...

avatar fallherpe | 

@ech1965

J’ai pas compris ce que tu as dit

avatar Ramlec | 

@fallherpe

Quand on supprime quelque chose, il reste toujours des traces résiduelles sur les mémoires. C’était également le cas avec les disques mécaniques cependant.

avatar debione | 

@Ramlec
Il n’y avait pas une option un temps sur OS X pour effacer plusieurs fois les DD afin justement de réduire les possibilités de retrouver ces traces? Cette option de sécurité a disparu?

avatar Ramlec | 

@debione

Je ne crois pas qu’elle ai disparu (je vérifierai ce soir, tiens) mais c’est en cas de reset complet donc pas sur une simple suppression

avatar Tomtomrider | 

@Ramlec

Je crois qu’elle a disparu en effet à cause de SSD. Ça crée une forte usure sur ce type de support donc pour éviter les pannes il me semble qu’Apple à supprimer la fonction. A vérifier.

avatar Ramlec | 

@Tomtomrider

Ah oui, c’est bien possible !
Je ne me suis jamais servi de cette fonction donc je suis un peu dans le flou haha.

avatar Lightman | 

@Ramlec

Si, elle a disparue ! La raison donnée des SSD ce n'est que pour faire passer la pilule officiellement.
Mais Apple l'a retirée même sur les disques durs. Je suis resté à Snow Leopard aussi pour cette fonction précise.

avatar debione | 

Rien d’etonnant À cela, pourquoi n’entend t on jamais parler de police qui aurait des problèmes à extraire des données? Parce qu’elles en on aucune...
Après depuis le temps que certain prétendent que le bla-bla sur la sécurité est du blabla marketing...

En fait c’est plus incroyable de voir des gens étonnés que de savoir que c’est possible... et il n’y a pas que les polices qui l’utilisent, quand Joe le malandrin t’arrache ton smartphone des mains, il va pas essayer de le pirater lui même. Il existe des filières où il peut le revendre, et ces ciliaires elles se feront un plaisir ....

Après, il n’est pas très malin de mettre sa vie dans un smartphone sous prétexte que le vendeur a promis jure crache que son systeme était inviolable...

avatar Lu Canneberges | 

@debione

Pour le coup il y a des milliers d’iPhone dans les tribunaux/commissariats en France et aux États-Unis qu’ils n’ont jamais réussi à ouvrir...

avatar debione | 

Cela a un prix... Donc il faut que cela en vaille la peine.... On ne va pas retourner le jardin d’un voleur de voiture, par contre d’un psychopathe oui... Dans beaucoup de délit tu n’as pas besoin d’avoir le contenu.
Parce que celebrit vend aussi l’analyse, c’est par exemple ce qu’utilise la police fédérale suisse. Elle envoie les smartphone à celbrit, qui l’es lui retourne en l’etat... mais avec tous les renseignements nescessaires sur un fichier. ( et de mémoire de l’interview du type, cela tournait autour de 10-15k par téléphone... Donc bon, on va pas faire ça pour un type qui a vendu trois barrettes...

avatar Lu Canneberges | 

@debione

Oui c’est sûr... après, pour l’iPhone de San-Bernadino (l’attentat terroriste aux États-Unis), le FBI aurait payé 3 MILLIONS de $ pour le déverrouiller... donc ce n’est pas si aisé que ça. Et c’était un vieil iPhone 5c pas à jour...

avatar debione | 

Comme quoi, c’est bien une question de sousou, et pas de possibilité de le faire...
On vit pas au pays des Bisounours hein... ( juste un petit coup d’oeil Au Patriot Act et tu remarqueras que sur une simple requête du FBI ( pas même d’un juge) et tu as l’obligation 1. De t’executer 2. L’interdiction absolue d’en parler... Après je te laisse seul juge de savoir pourquoi et qu’elles sont les implications qui on fait de cette histoire une histoire publique alors que la loi l’interdit)

Se rappeler de jusqu’ou Est capable d’aller dans la manipulation grossière le gouvernement américain... c’est pas l’es exemple historique qui manque.

avatar Thanat0s | 

@debione

C’est pas parce que cellebrite a une faille que ça marche à tous les coups. Tu mets un mdp alphanumérique de 10 caractères t’es tranquille

avatar mouahaha | 

Sauf si t'arrives à exécuter du code au lancement de la machine et en prendre le contrôle... Comme dans ça a été le cas avec des CPU Intel...

avatar Thanat0s | 

@mouahaha

T’inquiète avec ma méthode t’es tranquille ?

avatar ckermo80Dqy | 

L’article ne nous dit pas s’ils peuvent extraire les données d’un iPhone transformé en brique. Du genre on me l’a volé j’efface tout à distance.

avatar Tomtomrider | 

@ckermo80Dqy

Si c’est écrit : et même au contenu supprimé.

avatar Thanat0s | 

@Tomtomrider

Je ne serais pas aussi catégorique. Attention aux tournures marketing...

avatar Tomtomrider | 

@Thanat0s

Possible en effet. Mais un iPhone effacé l’est il réellement ? Avec réécriture des données ? Parce que sans ça un iPhone fonctionnel ou « briqué », ça me paraît être kifkif

avatar Thanat0s | 

@Tomtomrider

Pas forcément besoin de réécrire les données. Si c’est comme un SSD une fois que la commande TRIM est passée c’est mort. Car le contrôleur masque la mémoire qu’il y a derrière lui. Cette mémoire est chiffrée en interne et seul le contrôleur peut la déchiffrer. Rien à voir avec un chiffrement au niveau de l’OS bien sûr.
En fait une fois que pour le contrôleur c’est effacé et trimé c’est mort normalement.
Après je ne sais pas comment est contrôlé la mémoire d’un iPhone.
Édit: je suis quasi sûr que l’iPhone n’est pas « effacé physiquement » car ça ne sert probablement à rien.
Édit 2: de plus la mémoire est probablement chiffrée avec la secure enclave

avatar Tomtomrider | 

@Thanat0s

C’est vrai que vu comme ça ça semble peu probable en effet.

avatar Thanat0s | 

@Tomtomrider

Je pense qu’il s’agit plutôt de données « cachées » par des applications mal faites qui conservent les données à l’insu de leurs utilisateurs qui croient supprimer des informations. Il y en a des comme ça, on en a même parlé ici je crois.

avatar ElFitz | 

C'est tout l'intérêt d'un chiffrement intégral des disques entiers.

Si c'est bien fait, peu importe que les fichiers soient ou effectivement effacés du disque quand ils sont supprimés, ils resteront illisibles.

Je n'arrive toujours pas à comprendre comment le chiffrement d'iOS peut bien fonctionner pour que cette récupération de données soit possible.

avatar Thanat0s | 

@ElFitz

Peut-être parce que les données « effacées » sont tout simplement des données qui deviennent masquées par les applis à leur utilisateur. Et que ces applis ne demandent pas à iOS de supprimer les données.

CONNEXION UTILISATEUR