Le procureur de Manhattan a fait construire un labo à 10 millions de dollars pour craquer des iPhone

Mickaël Bazoge |

Le procureur de Manhattan, Cyrus Vance Jr., a fait construire près de ses bureaux un laboratoire à 10 millions de dollars qui lui permet de (tenter de) déverrouiller des smartphones qui sont des pièces à conviction d'enquêtes en cours. Fast Company a obtenu un accès exclusif à ce labo, placé dans une chambre d'isolation contre les fréquences radio. Il s'agit de bloquer la purge à distance commandée par les propriétaires de ces appareils…

Photo: Samir Abady pour Fast Company.

Les smartphones à craquer sont branchés à deux ordinateurs dont le boulot est de générer des codes de déverrouillages aléatoires. La force brute ne suffit pas, il faut aussi réduire autant que possible les possibilités (le nombre de combinaisons d'un code à 4 chiffres est de 10 000, et d'un million pour un code à 6 chiffres). Ce d'autant qu'iOS intègre des mécanismes qui limitent le nombre de tentatives.

Steven Moran, le directeur de l'unité d'analyses technologiques doit alors faire preuve d'ingénierie sociale : date d'anniversaire du propriétaire de l'iPhone, équipe de baseball préférée, nom de son chien, etc. Toutes les infos personnelles sont bonnes à prendre pour tenter de deviner le code de déverrouillage d'un appareil. Moran s'est entouré de cadors des technologies, notamment des ex-militaires. Un de ses ordinateurs est en mesure de créer 26 millions de codes aléatoires en une seconde, il a aussi à sa disposition un robot qui peut retirer des composants, ainsi que des outils spécialisés pour réparer des appareils endommagés, même sévèrement.

L'équipe a du pain sur la planche : 3 000 smartphones liés à des enquêtes criminelles étaient en attente d'un miracle le jour de la visite de Fast Company. Ce labo est le premier du genre pour un procureur aux États-Unis. Cyrus Vance Jr. a décidé de lancer cette initiative il y a cinq ans, après qu'Apple a décidé de chiffrer le contenu de ses iPhone avec iOS 8 (septembre 2014) ; Google a suivi peu après.

La moitié des smartphones sont craqués dans le labo

Avant 2014, la vie était plus facile : les constructeurs coopéraient sans barguigner. Dès la réception d'un mandat du bureau de Vance, Apple ou Google récupéraient le smartphone, stockaient les données sur une clé USB et renvoyaient le tout au bureau du procureur. « Ils aimaient travailler avec les forces de l'ordre », explique Cyrus Vance Jr., « ils étaient fiers de travailler avec nous ».

Mais patatras, les révélations d'Edward Snowden en 2013 ont braqué Apple, Google, Microsoft et les autres qui ont décidé de faire de la sécurité des données et du respect de la vie privée une priorité. Les systèmes de sécurité se sont empilés et avec eux, la sensibilisation du public : il y a cinq ans, 52% des smartphones envoyés au bureau du procureur étaient verrouillés. C'est 82% aujourd'hui, un chiffre qui semble même peu élevé.

Vance et son équipe craquent environ la moitié des téléphones en leur possession. Mais dès qu'iOS ou Android sont mis à jour, il faut de nouveau y aller à tâtons pour trouver une nouvelle parade. Le procureur trouve qu'il est « fabuleux » qu'Apple puisse fournir une grande partie des données stockées dans iCloud, mais « si vous êtes un criminel sérieux, vous n'allez pas sauvegarder votre smartphone dans le nuage » (lire : Apple aurait renoncé au chiffrement de bout en bout des sauvegardes dans iCloud).

Cyrus Vance Jr. semble penser qu'Apple a déjà mis en place une porte dérobée « secrète » dans son système, avec cette justification assez étonnante : « [Apple] peut entrer dans mon téléphone tout le temps, parce qu'ils mettent à jour le système d'exploitation et ils m'envoient des messages ». Étrange théorie du complot… Le procureur estime aussi qu'Apple et Google ont décidé des règles de manière unilatérale, alors que ce n'était pas leur rôle. Il ne leur revient pas de placer le curseur entre vie privée et sécurité publique.

Des propos qui font écho à ceux du ministre américain de la Justice, William Barr, et à ceux de Donald Trump qui ont exigé d'Apple le déverrouillage de deux iPhone ayant appartenu au tireur de la base navale de Pensacola (lire : Pensacola : le gouvernement américain joue-t-il franc jeu avec Apple ?).

avatar frenchieman | 

Wtf ??? Seriously ? Omg !

avatar simnico971 | 

Notre chère police française se dote quant à elle de 500 appareils Cellebrite qui serviront bientôt à aspirer vos données dans votre commissariat favori.

Si vous tenez à votre droit de ne pas vous incriminer vous-même pour allez savoir ce qu'ils pourront y trouver après vous avoir embarqué sans motif en manifestation, ou pour "outrage" ou "participation à un groupement en vue de..." :

- Mettez toujours vos appareils à jour rapidement

- Utilisez un code d'au minimum 10 chiffres choisis au hasard (c'est pas si difficile à mémoriser), ou une phrase d'au moins 5 mots du style "Josette chevauche des baguettes roses"

- Activez l'effacement automatique des données au bout de 10 tentatives erronées dans les réglages Code

- Gardez en tête qu'agripper votre iPhone par les boutons de volume et power pendant 2 secondes désactive TouchID ou FaceID

avatar Bruno de Malaisie | 

@simnico971

Je ne connaissais pas la dernière astuce.

avatar Lemon19 | 

@simnico971

Propos nauséabonds et pleins de sous entendus sur la police. Ce n’est pas un site pour les casseurs ici.

avatar simnico971 | 

@Lemon19

Le droit de garder le silence et celui de ne pas contribuer à sa propre incrimination sont sanctionnés par les articles 9 et 16 de la Déclaration des Droits de l’Homme et du Citoyen du 26 août 1789.

Les citoyens ont le droit d'être informés de leurs droits et des moyens à leur disposition pour les garantir :

- Garder le silence en garde à vue
- Être assisté d'un avocat
- Contacter un proche
- Voir un médecin
- Ne pas signer un PV de garde à vue si son contenu ne correspond pas à la réalité des faits

Ça te pose un problème ?

avatar Lemon19 | 

@simnico971

Ça n’est pas la loi qui me pose un problème mais les sous entendus anti police.

avatar simnico971 | 

@Lemon19

C'est pas comme si un journaliste avait été placé en GAV puis relâché sans poursuites, mais son téléphone placé sous scellé il y a 4 jours, et hier le vice-bâtonnier de Dunkerque arrêté arbitrairement sans motif et libéré sur ordre direct du Procureur...

Si la vérité vous dérange, ce n'est pas de la faute de la vérité.

avatar apple78310 | 

@simnico971

Rassure moi, puisque tu parles d’un journaliste, j’ose espérer que tu ne penses pas au militant politique (voire islamiste) Taha Bouhafs?

avatar en chanson | 

@apple78310
tu peux nous citer tes sources? tu nous récites la litanie BFM?

avatar oautier | 

@simnico971

La chambre criminelle de la Cour de cassation rappelle dans un arrêt rendu le 10 décembre 2019 :

“L’atteinte au droit de ne pas s’auto-incriminer est constituée dès lors que les données ne peuvent exister indépendamment de la volonté du suspect, ce qui n’est pas le cas des données contenues dans les téléphones, qui peuvent être obtenues par des moyens techniques”.

avatar Lightman | 

@oautier

Dommage. Mais bon à savoir. J'aime 👍

avatar maccyke | 

@Lemon19

Bah les sous entendu anti police ... et alors ? Il est encore permis de critiquer, questionner nos institutions que je sache. Président, ministres, la fonction publique eeeet la Police.

avatar Lemon19 | 

@maccyke

Critiquer c’est la seule chose que l’on sait faire. Toujours sous entendre que le système est pourri, tout en en profitant au quotidien.

avatar Sindanárië | 

@Lemon19

"Ça n’est pas la loi qui me pose un problème mais les sous entendus anti police."

Oh les pov’ biquets 😂

avatar Zara2stra | 

@Lemon19

Bah, moi ce sont les violences policières qui me posent problèmes.
Won ne dit pas que tous les policiers sont des batards, seulement une grande partie. 😂

avatar oautier | 

@simnico971

Sur ton deuxième message, je crois que la Cour de cassation a jugé illégal le fait de ne pas donner son code de téléphone.

Il faut vérifier mais je crois bien que j’ai vu ça passer.

avatar oautier | 

@simnico971

En 2018, le Conseil constitutionnel avait déjà été saisi à ce sujet. Les Sages avaient alors estimé que l’article 434-15-2 du code pénal ne portait pas atteinte à la Convention européenne des droits de l’homme à partir du moment où c’était une autorité judiciaire qui réclamait la clé de chiffrement. L’article en question encadre strictement les conditions qui pourraient mener à ce scénario.

Il faut que l’appareil soit “susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit”. Cet article a été créé peu après les attentats du 11 septembre 2001. Le refus de remettre aux autorités judiciaires la convention secrète de déchiffrement d’un moyen de cryptologie est puni de trois ans d’emprisonnement et de 270.000 € d’amende.

avatar pagaupa | 

@simnico971

Dis donc! Tu t’y connais! Tu as été arrêté combien de fois? 😜

avatar Lightman | 

@simnico971

Tous ces points sont bons à rappeler, cependant :

Le droit de garder le silence et celui de ne pas contribuer à sa propre incrimination sont sanctionnés par les articles 9 et 16 de la Déclaration des Droits de l’Homme et du Citoyen du 26 août 1789.

Bien que j'aie ces deux principes bien en tête, le texte des deux articles de la Déclaration des Droits de l’Homme et du Citoyen que j'ai consultés sur Wikisource ne traites pas de ces questions. J'ai mal cherché ?

https://fr.m.wikisource.org/wiki/Déclaration_des_Droits_de_l’Homme_et_du_Citoyen

avatar pagaupa | 

@Lemon19

« Propos nauséabonds et pleins de sous entendus sur la police. Ce n’est pas un site pour les casseurs ici. »
Ce n’est pas comme si la police était sans reproche...j’ai moi-même été contrôlé dans les halles violemment! PlaQué contre le mur, en m’entendant dire que si on était à NY je serais déjà flingué...
Parce que j’osais protester pour des questions dépassant leur droits.
Grace à dieu, en france on a encore le droit d’avoir 150€ dans un portefeuille sans en justifier l’origine.

avatar mapiolca | 

@pagaupa

J’ai du mal à comprendre ce que Dieu à voir là dedans.

avatar TheRV | 

@simnico971

Faut grandir et sortir de la théorie du complot ...

avatar brunnno | 

@TheRV

« Faut grandir et sortir de la théorie du complot ... »

Ben moi, je préfère être vigilante et y rester et sortir du monde des bisounours, dans lequel tu sembles te plaire...

avatar oautier | 

@simnico971

Il y a aussi la solution de ne pas enfreindre la loi...

Ce n’est pas non plus compliqué

avatar letofzurichois | 

Je suis le seul à halluciner sur l’argument de la porte dérobée via les mises à jours ?

avatar reborn | 

@letofzurichois

On est 2 🍻

avatar pim | 

@reborn

C’est un argument purement théorique : pour faire la mise à jour, il faut taper son mot de passe iTunes sur un iPhone déverrouillé ! Donc effectivement Apple a d’une certaine manière les clefs, mais s’ils publiaient demain une mise à jour qui abaisse toutes les sécurités, ça ferait un peu parler dans le landerneau !

Car sinon, cette histoire d’une mise à jour qui ouvre toutes les portes, c’est bien connu et très utilisé, ça s’appelle le jailbreak. Une fois que vous avez fait ça sur votre appareil, à vous la liberté, vous pouvez installer tout et n’importe quoi, surtout n’importe quoi en fait.

avatar Nitneuqq | 

@letofzurichois

10 millions de dollars pour du brutforce, ça me choque aussi....

avatar letofzurichois | 

@Nitneuqq

Dans l’Amérique de Trump ? Sérieux ?

avatar mk3d | 

@Nitneuqq
On est proche du mensonge d’état 🤣

avatar IceWizard | 

@letofzurichois

« Je suis le seul à halluciner sur l’argument de la porte dérobée via les mises à jours ? »

Oh non ! Ce type n’a pas la lumière à tous les étages !!

avatar krully37 | 

@letofzurichois

Ça montre une méconnaissance totale oui... Alors certes ce n’est pas son boulot de savoir ça mais quand on avance ce genre d’argument ça la fout mal

avatar iPop | 

@letofzurichois

"On dit ce qu’on veut pour justifier ce qu’on fait"
Macron
#ungrandhomme

avatar Zara2stra | 

@iPop

"J’assume parfaitement de mentir pour protéger le président"
Sibête Ndiaye
#lesdeuxfontlapaire

avatar iPop | 

@Zara2stra

"Sibête Ndiaye" 🤔 elle a pas volé son nom celle là.

avatar Sindanárië | 

@iPop

Quand un prénom conditionne un destin...

avatar fousfous | 

Vous êtes sur qu'on a affaire à un expert en sécurité avec son histoire de la porte dérobée?
On dirait plus une histoire inventée pour dire qu'Apple coûte chère à la société et qu'ils protègent les criminels...

avatar lmouillart | 

Cyrus Vance Jr. est procureur pas expert en sécurité.

---
Après c'est plus qu'ultra probable qu'il y ai des portes dérobées (comme dans tout autre matériel de telco d'ailleurs), mais c'est tout aussi probable que la justice n'y aura jamais accès.

avatar Ginger bread | 

@lmouillart

Quel intérêt alors d’en avoir?

avatar mouahahaha | 

Ya pas que la justice dans la vie, ya l'armée et les renseignements aussi :)

avatar raoolito | 

@mouahahaha

Ya aussi des gens qui disent n'importe quoi...
c'est meme plus fréquent que les portes dérobées
Ceci dit, qu'il y ait des failles, c'est une autre histoire, et vu le passif en matière de bugs logiciels chez Apple ca n'étonnerait personne

avatar Ginger bread | 

@mouahahaha

Donc la NSA ou la CIA y ont accès mais pas le FBI?

avatar mouahahaha | 

@Ginger bread

En quoi ça serait choquant ? Le FBI c'est juste des superflics à qui on laisse peut de possibilités de contourner la loi. La NSA et la CIA opèrent à un niveau bien au dessus et surtout à l'international pour défendre les intérêts de la nation même s'ils faut se mettre dans l'illégalité par moment si on ne leur en a pas déjà donner le droit via les lois machinbidule act. Et chez les amerlocs la nation est aussi sacré que leur mère donc on pourra leur pardonner au pire.

Si le FBI est sur un affaire et que la CIA entre dans la danse, l'agent du fbi a juste à fermé sa gueule et il ne pose aucune question ou il doit s'attendre à quasi, voir, aucune réponse s'il le fait.

Et tu penses que la NSA fait comment quand elle fait capoter un contrat qu'airbus va remporter pour qu'il finisse au final, et après des pressions ou des révélations dans la presse sur X ou Y de chez airbus, dans la poche de boeing ?

Pourtant c'est pas les révélations de sownden sur les techniques employées ou les failles inconnues qui servaient d'armes à la NSA, ainsi que les leak sur la CIA qui manque.

avatar Giloup92 | 

Pourquoi n’achète-t-il pas des kiosques Cellebrite comme la police écossaise ?

avatar Phiphi | 

On avait les Lapalissades...

On a le procureur americonneries !

Le facteur peut entrer dans ma salle de bain quand j’y suis tout nu, la preuve, il arrive à glisser de la publicité dans ma boîte aux lettres.

avatar pim | 

@Phiphi

Excellent ! 👌

avatar occam | 

Cy Vance Jr. est une moyenne frappe (je suis gentil, là) qui, à 65 ans, en est encore à se faire un suffixe, Jr., puisqu’il n’a pas la chance de pouvoir se faire un prénom, ou une « middle initial » comme Dubya.

William Barr par contre, l’Attorney General (ça nous évite l’incongruité de traduire son titre par « ministre de la justice »), est un tout autre calibre, autrement plus délétère.
Pour se faire une idée de sa philosophie politique, constitutionnelle et juridique :
https://www.nybooks.com/daily/2020/01/15/william-barr-the-carl-schmitt-o...

Winter is coming.

avatar Zara2stra | 

@occam

Barr, élevé au bon grain de la théorie de l’exécutif unitaire, et par Dick Cheney célèbre marionnettiste de Potus...

avatar Silverscreen | 

Je suis choqué que certains approuvent toutes les atteintes aux libertés individuelles au motif que « ben si vous avez rien à vous reprocher, c’est pas bien grave » : l’histoire regorge de périodes où les citoyens ont renoncé à leurs libertés pour plus de « sécurité » en donnant les clefs de leur intimité à l’État et ça ne s’est JAMAIS bien terminé.
Faut croire qu’on peut tromper 1000 fois une personne... ;)
Merci @occam pour le lien.

avatar macinoe | 

L'argument de dire qu'on a rien à cacher me semble idiot, mais ce n'est pas une raison pour laisser à une entreprise privée des prérogatives qui n'appartiennent qu'à l'état.

Il ne faut en effet pas perdre de vue que les états peuvent dériver selon les périodes.
Mais jamais perdre de vue non plus que la seule raison d'être d'une entreprise c'est de gagner de l'argent.

Donc au final ceux qui n'ont aucune confiance dans leur état et qui reporte cette confiance sur une entreprise telle qu'Apple je les trouve encore pires que ceux qui prétendent ne rien avoir à cacher.

La solution c'est d'assurer la sécurité de ses données soi même et pas de la confier à une société qui cédera de toute façon dès que la pression sera trop forte ( le cas de la Chine est déjà la preuve flagrante )

La position d'Apple sur la sécurité est une tartufferie et un piège pour les naïf qui y croient.

Pages

CONNEXION UTILISATEUR