• La sécurité informatique et son business

Malgré les efforts de l’industrie en matière de sécurité ces dernières années, des failles sont régulièrement trouvées dans les systèmes informatiques. Elles peuvent se présenter sur un smartphone sous la forme d’attaques lors du démarrage de l’appareil [1], d’abus des dispositifs de maintenance, ou encore de failles dans le système lui-même (iOS ou Android [2]) ou les applications. Mais ces failles ne sont jamais livrées clef en main : elles sont souvent publiées via des papiers scientifiques ou des articles de blog, présentant le processus de recherche, les résultats, et parfois le code développé pour les tester (on parle de « Proof of Concept », preuve de concept en français) qui est souvent uniquement applicable dans le cas particulier utilisé pendant la recherche. D’autres personnes, motivées par la volonté de pousser les fabricants à corriger les failles ou plus simplement pour des raisons financières, mettent alors au point une version prête à l’emploi de l’exploitation la faille, souvent sous la forme d’un module utilisable dans des logiciels dédiés.
Par exemple, ce poste en anglais sur le blog du Project Zero (groupe recherche en sécurité informatique appartenant à Google) datant de janvier 2020, décrit une faille dans l’application Apple iMessage ne nécessitant pas d’interaction de la victime et permettant d’obtenir le contrôle de l’appareil. Cette vulnérabilité a été signalée à Apple avant sa publication pour leur permettre de la contrer puis de la corriger complètement, avant qu’elle ne puisse être exploitée. Cas particulier néanmoins, certaines entités comme les agences de renseignement [3] et des groupes spécialisés préfèrent logiquement garder secrets les « exploits » (terme technique employé pour désigner les failles « exploitables ») qu’elles découvrent, afin de pouvoir s’en servir au moment opportun.

Ces failles ont donc de la valeur et un business très lucratif s’est développé autour de celles-ci. Cela va du marché noir sur lequel gouvernements et autres groupes criminels cohabitent pour s’échanger des vulnérabilités à prix d’or (les vulnérabilités prêtes à l’emploi les plus efficaces et les plus fiables peuvent facilement dépasser le million de dollars), aux sociétés offrant des prestations d’audit aux grandes entreprises, en passant par des programmes de « bug bounty » [4] pour encourager les signalements de failles auprès du constructeur moyennant récompense.

 

  • La sécurité des smartphones

De par leur nombre et leur versatilité, les smartphones représentent un défi technique en terme de sécurité ; les modèles récents jouissent donc de fait de nombreux mécanismes de protection, dont on ne trouve des équivalences que dans des modèles d’ordinateurs hauts de gamme. Parmi ces protections, on retrouve le chiffrement du stockage ; il s’agit d’une protection dite « au repos », puisque les données ne sont protégées que sur le support de stockage lui-même. Cette protection est donc imparfaite car l’appareil accède aux données « en clair » quand il est en fonction : il faut donc s’assurer qu’il n’y a pas de faille de sécurité dans le système ou les applications. Aussi, ces dispositifs ne sont pas parfaits et des vulnérabilités sont régulièrement trouvées.

Pour contrer cela, de nombreux dispositifs de protections s’ajoutent au chiffrement : la plupart des smartphones stockent par exemple la clef de déchiffrement sur une puce [5] séparée du processeur et donc difficilement extractible. Ladite clef peut être basée sur un élément d’authentification de l’utilisateur-ice comme le code de déverrouillage ou des données biométriques (reconnaissance faciale ou empreintes digitales), empêchant fortement l’extraction de données chiffrées pour les déchiffrer a posteriori, ou même le déchiffrement de l’appareil sans que la personne ne livre le code d’accès. Cette puce a aussi pour rôle de surveiller au démarrage que rien a été altéré matériellement ou logiciellement et pour détecter tout dispositif ayant pour but de compromettre l’appareil.
Mais ces protections souffrent elles aussi de failles, tantôt exploitées par des attaquants, tantôt « patchées » (c’est à dire corrigées) par les développeur-euses.

 

  • Cellebrite et ses UFED

Cellebrite est une firme de sécurité informatique israélienne, spécialisée dans l’extraction de données d’appareils mobiles, notamment dans les domaines militaires et judiciaires. C’est elle qui aurait permis au FBI de se passer de l’aide d’Apple dans l’affaire de l’attaque de San Bernardino, qui impliquait un iPhone que la firme refusait de déverrouiller. L’agence gouvernementale aurait alors fait appel à Cellebrite pour accéder de force au contenu de l’appareil qui était pourtant protégé. En janvier 2017, 900Go de données appartenant à l’entreprise ont fuité, révélant des échanges commerciaux avec des gouvernements comme la Turquie, la Russie et les Émirats Arabes Unis, qui ne se cachent guère d’instrumentaliser leur système judiciaire contre des militant-es [6] [7].

Sur son site web, l’entreprise propose tout un écosystème autour de ses produits d’extractions, allant du PC tout terrain au service d’analyse en accès à distance. Parmi ces produits, on retrouve les « UFED » (Universal Forensics Extraction Device«  [8]) dont le »Kiosk », que sa fiche technique [9] décrit comme un appareil permettant d’extraire les données de divers appareils comme des clefs USB, des cartes SIM ou encore des smartphones. Mais plus que cela, ces appareils permettent selon la firme d’intégrer cette extraction de données dans l’interrogatoire d’une personne (en garde à vue ou à une frontière), tantôt en utilisant les informations obtenues pour tenter de débloquer des données, tantôt en utilisant les données extraites dans l’interrogatoire. Le Kiosk n’est en revanche qu’une version mobile et un élément de l’écosystème vendu aux gouvernements : d’autres outils offrent la possibilité de traduire en temps réel, d’accéder à leurs experts à distance, etc.

Ces boîtiers sont également capables de tirer profit de failles de sécurité connues pour extraire des informations supplémentaires. Pour cela, ils analysent l’appareil pour détecter le modèle et les versions des logiciels installés. Cette première phase de reconnaissance au moment du branchement de l’appareil visé permet aussi de récupérer des informations de base, plus ou moins non protégées car nécessaires au bon fonctionnement de l’appareil. Cela peut inclure dans le cas d’un téléphone par exemple le numéro IMEI (qui identifie le téléphone lui-même sur le réseau, indépendamment de la carte SIM), le numéro ICCID (la carte SIM), son fuseau horaire, et éventuellement le modèle et la version d’Android/iOS installée. Grâce aux informations collectées, ils interrogent leur base de données pour trouver une faille ou un enchaînement de failles applicables et l’utilisent pour accéder à certaines parties de l’appareil. Au besoin, le processus est répété à partir des nouvelles informations obtenues. Leur point fort est donc qu’ils ne nécessitent pas de compétences particulières en informatique en-dehors d’une formation à leur usage. Le peu d’informations disponibles en ligne quant à leur utilisation [10] va en ce sens, mentionnant la nécessité de mettre l’appareil à jour pour un bon fonctionnement, probablement pour rafraîchir la liste de vulnérabilités disponibles.

Les failles employées sont diverses dans leur nature et leur efficacité. Cela peut aller de la simple faille dans le mécanisme de maintenance par USB permettant d’obtenir quelques informations tierces, à des failles touchant le cœur du micrologiciel et donnant un accès privilégié au système. Pour donner quelques exemples de failles récentes :

  • les librairies utilisées par Apple sur ses appareils tournant sous iOS 9 souffraient d’une faille qui permettaient d’utiliser AirDrop pour accéder au stockage de l’appareil malgré le refus de l’utilisateur-ice ;
  • en octobre 2019, des membres du Project Zero révélaient une faille de sécurité dans certains téléphones Android qui donnaient un contrôle complet de l’appareil ;
  • la faille « checkm8 » révélée en septembre 2019, qui impacte tous les iPhone allant du 4S au X (modèles de 2011 à 2017) permettait d’obtenir un accès privilégié au système et qui serait apparemment virtuellement incorrigible. En début d’année, Cellebrite a annoncé avoir intégré un module exploitant cette faille dans ses produits.

Ce genre de faille permanente reste néanmoins rare : comme d’ailleurs mentionné sur une page [11] du site de Cellebrite, l’immense majorité des failles nécessite que l’appareil n’ait pas encore reçu le correctif via les mises à jour. Ces mises à jour peuvent ne jamais arriver si l’appareil est trop vieux, est produit par une marque peu à cheval sur la sécurité ou que celle-ci est simplement en faillite. La quantité d’information que l’appareil collecte dépend donc de la vulnérabilité du smartphone : des modèles récents, haut de gamme et à jour peuvent ne donner que très peu d’informations, et de vieux appareils (ou ayant une faille sévère non corrigée) peuvent inversement livrer tous leurs secrets. Il est donc difficile de prévoir la quantité d’informations extractibles par ces boîtiers sans analyser au cas par cas.

Certaines pages marketing [12] du site officiel ainsi que les quelques rapports d’extraction disponibles en ligne [13] font mention d’un accès « logique », un terme généralement employé en informatique pour désigner un accès direct au stockage. Cela permet entre autres à l’appareil de récupérer des fichiers supprimés récemment (précision, une seule réécriture par le système d’exploitation suffit pour effacer définitivement des données). Cet accès au stockage permet de récupérer énormément d’informations, pour peu qu’elles ne disposent pas de protections supplémentaires. Cela inclut donc les photos, les SMS « classiques », les contacts, l’historique d’appels, le calendrier… etc. Mais ce qui donne de la valeur à ces données n’est pas que — et pour ainsi dire, pas tant — leur contenu que leurs « métadonnées », c’est-à-dire les données autour, autres que le contenu. Il est plus facile de faire des recoupements avec les heures d’envoi, les destinataires, et les données de localisation que de devoir analyser chaque image ou texte. La force de ces boîtiers d’extraction clef en main réside en partie dans leur capacité à générer des visualisations claires à partir de ces données.

Concernant les applications sécurisées comme Signal et Telegram souvent données en exemple à la fois dans le milieu militant et dans la communication de Cellebrite, il est bon de se rappeler que ces applications ont vocation à permettre de communiquer de manière sécurisée. Certaines comme Signal ou Wire emploient pour cela des technologies de « chiffrement point à point », c’est à dire empêchant les serveurs de l’application d’accéder aux communications, puisque seul-es les utilisateur-ices (ou plutôt leurs appareils) sont en possession des clefs de chiffrement. Cela limite le risque de pression légale ou extra-légale sur les groupes qui gèrent ces applications. L’effet secondaire est que les appareils deviennent alors des cibles de choix pour les attaquants : cela crée la nécessité de protéger le stockage des applications elles-mêmes. Signal par exemple utilise la base de donnée chiffrée fournie par Android, qui est à ce jour plutôt bien testée. Comme pour tout logiciel, l’historique des failles (du moins connues publiquement) dans Signal est consultable via des bases de données comme le CVE, qui évaluent également leur sévérité sur la base de leur complexité, leur fiabilité, leur effet… etc. Néanmoins, si une faille ou chaîne de failles impactant le système d’exploitation permet d’avoir un accès privilégié (« root » ou « Jailbreak », respectivement sur Android et iOS) au système même de l’appareil, il est possible de remplacer l’application normalement validée par le système par une version compromise, permettant d’accéder partiellement ou totalement aux données, et ce sans faille dans l’application elle-même. Ce n’est donc pas parce que les services de renseignement ont réussi à accéder à des messages chiffrés que l’application est nécessairement compromise, encore moins définitivement. Si des failles sont parfois trouvées dans des applications orientées sécurité, elles sont généralement rapidement corrigées, tout comme celles du système, d’où l’importance de les mettre régulièrement à jour. C’est d’ailleurs pour ça qu’il est peu probable que des failles de haut niveau soient utilisées à l’encontre de « simples » militant-es : celles-ci sont considérées comme étant à usage unique car leur utilisation déclenche souvent leur correction peu après.

 

  • Le kiosk dans tout cela

Si on se fie aux articles sur la question et malgré les quelques nuances apportées ici, il est facile d’en déduire que les forces de l’ordre possèdent désormais l’arme ultime contre les smartphones. Mais si l’on se penche un peu plus sur les documentations du kiosk et sur le contexte de son périmètre d’action, on se rend compte que les choses sont bien, bien plus compliquées.

En effet, ni la page du produit [14] lui-même ni sa fiche technique ne font mention de capacité de « piratage » à proprement parler : cela ne semble donc pas être son but premier. L’appareil se contente avant tout d’extraire des données ; or si le smartphone est paramétré de telle sorte que l’accès aux fichiers par USB est autorisé (ce qui est très courant), il n’est souvent pas nécessaire de recourir à des failles de sécurité pour obtenir des informations très utiles. En l’occurrence, l’appareil semble avant tout servir à générer des rapports et des visualisations permettant de rapidement évaluer les allées et venues d’une personne, ainsi qu’intégrer ces données dans l’interrogatoire. Par exemple, utiliser les potentielles données de géo-localisation des photos présentes sur l’appareil pour dessiner une carte des lieux fréquemment visités par la personne. Les formations les plus basiques [15] [16] offertes par Cellebrite n’évoquent d’ailleurs que l’aspect récupération et analyse de données de leurs produits, et non la partie sécurité offensive, et les pages marketing en français [17] appuient plus sur l’aspect « respect du processus judiciaire », prétendu pilier de la Justice™, notamment en France. En revanche, la page du logiciel InField [18] fourni avec le Kiosk et déployé sur celui-ci fait bien mention de la possibilité de « désactiver ou contourner le verrouillage mis en place par l’utilisateur ». Cette capacité nécessite néanmoins toujours l’existence de failles de sécurité ou un mauvais paramétrage du smartphone pour fonctionner. Pour rajouter à la confusion, cette même page affirme que le produit est capable de « décoder les données de plus de 1 500 applis mobiles en quelques minutes ». Sauf que l’on parle bien là de « décoder » et non « décrypter », c’est-à-dire simplement de donner sens à des données « brutes » telles que stockées dans les fichiers pour pouvoir les présenter de manière claire dans le rapport : par exemple lister les messages d’une application de discussion instantanée comme Messenger [19].

L’`article de Street-Press évoque vaguement une capacité d’accès aux applications type Signal ou Telegram sans plus de sources. Sans prétendre qu’elles sont sûres à 100%, il est plus probable que l’élément humain ait été le maillon faible dans ce genre d’affaire. Le coût technique d’une telle pratique la limite à des cas exceptionnels (et à ce jour jamais répertoriés en France) et donc plus du fait des services de renseignement pour des cibles de valeur que dans le cadre d’une enquête classique. En effet, les protocoles de forensics (sciences appliquées au travail d’investigation) requièrent le maintien de la validité de la chaîne de la preuve, c’est-à-dire l’assurance de pouvoir montrer qu’une preuve n’ait pas été altérée entre sa saisie et le tribunal [20]. En informatique, cela passe par des copies faites via des appareils disposant d’un « write-block », c’est-à-dire permettant seulement de lire l’appareil, sans l’altérer. En ce sens le kiosk n’est sans doute pas capable de compromettre des applications chiffrées, et encore moins d’injecter des programmes espions pour une surveillance a posteriori. Il est d’ailleurs bon de rappeler qu’un des principes de base en matière de sécurité informatique défensive est que les attaquants ont aussi des contraintes, notamment budgétaires et temporelles. La mise en place de lourds dispositifs de surveillance via des applications compromises sur le téléphone de la victime (qui plus est généralement éphémères, du fait des mises à jour) ou bien l’utilisation (plus ou moins à usage unique, du fait des contraintes du business) d’une faille non-découverte constitue un coût opérationnel important, cantonnant ce genre de pratiques à des cas très rares s’y prêtant. Le reste du temps, les techniques plus terre à terre, notamment non-informatiques, ont depuis longtemps fait leurs preuves pour les policiers.

 

  •  Comment le kiosk s’intègre dans la répression à la française

Comme évoqué dans les articles de Reporterre et de StreetPress sur la question, cet achat [21] a donc vocation à équiper les commissariats, douanes et gendarmeries pour désengorger les services spécialisés déjà surchargés. En ce sens, l’appareil ne sert donc que dans des affaires de « routine » et ne permet guère aux forces de l’ordre d’accéder à plus d’informations, simplement à y accéder plus vite et plus facilement. Les affaires plus complexes sont toujours remises aux services spécialisés. Il est donc très peu probable que le gouvernement fasse appel (surtout moyennant contrat) aux laboratoires d’experts de Cellebrite, préférant ses propres services, comme le Pôle National de Cryptanalyse et de Décryptement (PNCD). Les capacités de « piratage » des forces de l’ordre restent donc dans l’ensemble les mêmes, en dehors de la simplification de leur mise en œuvre. Enfin, et même si les procédures ne sont pas toujours respectées (tout particulièrement quand le but est d’obtenir des renseignements plus que d’obtenir des preuves pour un procès), l’usage de ces appareils reste au même titre que toute perquisition soumis au Code de Procédure Pénale (notamment l’article 56), qui requiert un Officier de Police Judiciaire (et engage donc sa responsabilité face au juge en cas de falsification des preuves).

Point de détail s’il en est : le marché concerne 500 appareils, qui s’ajoutent aux 35 déjà en possession des forces de l’ordre. D’après Clémence Mermet-Grenot, entre autres commissaire de police du service de Criminalité numérique, ces boîtiers équiperont les « commissariats de premier niveau ». Ce terme ne semblant pas faire référence à une quelconque définition administrative, il faut donc partir du principe que cela signifie simplement les commissariats de quartier. Étrangement, leur nombre n’est clairement communiqué nulle part. Mais en analysant les données officielles disponibles, on peut estimer qu’il y en a environ 670 [22]. Dès lors, on peut supposer que tous les commissariats ne seront pas équipés, en tout cas pour l’instant. Il y a fort à parier que les commissariats prioritaires seront ceux des grandes villes ainsi que les commissariats considérés comme « stratégiques ». Le faible facteur de forme (équivalent à une petite valise) du Kiosk permettra sans doute de les déplacer au besoin lors de grands événements comme des contre-sommets type G20.

Enfin, même si le kiosk facilite grandement l’utilisation d’outils forensics, la méthode la plus fiable pour accéder à des informations protégées est encore ce qu’on appelle pudiquement « rubber-hose cryptoanalysis » (cryptoanalyse au tuyaux d’arrosage), c’est à dire faire pression sur l’élément humain par des biais légaux ou extra-légaux.

 

  • Quelques conseils de sécurité

Comme toujours en sécurité informatique (soit-elle défensive ou offensive), aucune méthode n’est sûre à 100%. Mais quelques conseils de base peuvent permettre d’au mieux fortement empêcher l’accès par les forces de l’ordre à des informations sensibles, ou au pire de limiter la casse en cas de compromission.

 

  • Conseils légaux

Tout d’abord, de manière générale : il est bon de rappeler que le meilleur moyen de défense en garde à vue est de garder le silence. Si refuser explicitement de donner son code de déverrouillage est illégal, la jurisprudence autour du droit au silence le concernant est encore floue ; malgré le fait qu’une décision du conseil constitutionnel du 30 mars 2018 affirme que des poursuites peuvent bel et bien être engagées, un prévenu a été relaxé en juin 2019 de poursuites concernant un tel refus, la justification étant que les code de déverrouillage ne sont en l’état pas clairement définis comme des « moyens de cryptologie ». Tout comme les tests ADN, il est donc préférable dans le doute de garder le silence, les poursuites étant rarement engagées ou menées jusqu’au bout à défaut d’un jugement sur d’autres faits graves appuyé par des preuves trouvées sur le téléphone.

 

  • Conseils informatique généraux

Pour ce qui est des conseils généraux en matière d’informatique : il va de soi qu’il ne faut utiliser l’outil numérique que lorsque ce que c’est nécessaire : par exemple se mettre d’accord via une conversation sécurisée et temporaire sur une réunion pour une action, et éviter de parler des détails opérationnels sur celle-ci.

De manière générale, les conseils usuels de vie privée s’appliquent : le meilleur moyen de réduire le risque de voir des données être compromises est de limiter leur existence. Au-delà d’éviter d’utiliser les applications de discussion instantanées pour discuter de sujets sensibles, il faut si cela est possible activer la suppression automatique des messages : par exemple sur Signal, les messages éphémères. Il peut également être intéressant de désinstaller sur le moment les applications non vitales avant chaque manifestation ou action un peu sensible ou de déconnecter ses comptes. Attention néanmoins, comme évoqué le kiosk est en mesure de récupérer certaines données supprimées mais pas encore réécrites s’il arrive à accéder au stockage de l’appareil. Il peut également être intéressant de fouiller les paramètres d’une application pour voir si des protections supplémentaires peuvent être activées, comme par exemple encore une fois sur Signal, le verrouillage d’écran.

Ensuite, il est important de maintenir ses appareils et applications à jour : cela permet d’obtenir les correctifs de sécurité le plus rapidement possible, et donc d’empêcher leur utilisation par des adversaires (qu’ils soient policiers ou non). Nombre de systèmes modernes proposent la possibilité de faire (voire forcent) les mises à jour automatiquement. Sur Android notamment, il est important de vérifier dans les paramètres (surtout si le téléphone date) si l’appareil a reçu le correctif de sécurité de septembre 2018 qui corrige une faille de sécurité dans l’USB. Pour cela, se rendre dans les paramètres du téléphone > « À propos du téléphone », « Niveau du correctif de sécurité Android » doit être au moins au « 5 septembre 2018 ».

Il va de soi qu’il est préférable de favoriser des appareils récents et hauts de gamme, même si bien sûr la contrainte financière peut être bloquante. En plus de cela, préférer des marques proches de Google (voire leurs propres téléphones) lors d’un achat permet de bénéficier le plus longtemps possible des mises à jour d’Android. Le site officiel de l’entreprise à l’origine des TEE (les fameuses puces de sécurité évoquées au début) permet de se faire une idée des marques (relativement nombreuses) qui font usage de cette technologie. Les téléphones récents de Google comme les « Pixel » bénéficient d’une technologie semblable, au travers des puces « Titan M ». Sont également à éviter les smartphones présents dans cette liste (miroir), souffrant d’une fuite d’informations concernant certaines fonctions de maintenance [23] activement exploitée par Cellebrite [24].

Il est préférable d’éviter les sécurités biométriques (reconnaissance faciale, empreinte digitale, etc) ou du moins seules : celles-ci peuvent facilement être contournées en contraignant physiquement la personne à déverrouiller l’appareil. Aussi, iPhone comme Android possèdent un paramètre non activé par défaut permettant de cacher le contenu des notifications lorsque l’appareil est verrouillé. Pour cela :

  • sur iPhone, se rendre dans les paramètres > Notifications > « Afficher les aperçus » > « Si déverrouillé » voire « Jamais » ;
  • sur Android se rendre dans les paramètres > Notifications > Roue dentée en haut à droite > « Sur l’écran de verrouillage » >« Masquer le contenu sensible des notifications » (variable chez certains constructeurs).

Pour ce qui est des smartphones Android, il est possible (et même dans ce cas précis, recommandé) d’activer le démarrage sécurisé : cela aura pour effet de nécessiter de rentrer son code de déverrouillage (schéma, code, mot de passe) dès le démarrage, sans quoi l’appareil ne se déchiffre pas. Pour cela, se rendre dans les paramètres, puis dans « Sécurité », « Verrouillage de l’écran » (le code sera demandé pour y accéder), cliquer sur le mode de verrouillage marqué comme étant en cours d’utilisation (« Verrouillage de l’écran actuel »). On peut alors sélectionner « Exiger un schéma pour démarrer l’appareil ». Attention, comme indiqué, cela empêchera l’appareil de recevoir des appels et des messages tant que l’appareil ne sera pas totalement démarré. Même si ce n’est pas parfait, cela participe à rendre l’exploitation du smartphone plus complexe. Les iPhones quant à eux ne nécessitent pas de mesure similaire du fait de leur fonctionnement.

Enfin, il faut se renseigner sur la réputation des outils que l’on utilise : par exemple si Telegram dispose aussi de quelques protections, l’application a mauvaise réputation dans le milieu de la sécurité informatique du fait de pratiques douteuses et de communications floues rendant l’application peu fiable d’un point de vue sécurité, à la fois en termes de communication et en termes de stockage. Cellebrite ou non, cette application est donc à éviter pour les communications vraiment sensibles. Les sites « techs » réputés comme Numerama ou ZDNet permettent de suivre l’actualité de manière à la fois accessible et détaillée.

 

  • Conseils spécifiques au kiosk

Pour ce qui est du kiosk et assimilés, il existe bel et bien une stratégie augmentant fortement les chances d’empêcher le déverrouillage de force. Ces appareils se basant largement sur un accès USB, il est possible de régler l’appareil de tel sorte qu’il bloque par défaut l’accès aux données voire la charge (les chargeurs intelligents contenus dans les appareils modernes pouvant être sujets à des failles), et ne l’activer qu’à la demande. Ce comportement est d’ailleurs de plus en plus activé par défaut, pour lutter contre ces méthodes de piratage.
Dans le cas d’un iPhone, la procédure à suivre pour vérifier que le « USB Restricted Mode » est activé est disponible sur le site de support de Apple (Réglages > Face ID et code/Touch ID et code > « réglage Accessoires USB » > décocher « Autoriser l’accès en mode verrouillé »). Cette option bloque tout échange de données si l’appareil n’a pas été déverrouillé depuis une heure. Une course contre la montre très peu favorable s’engage donc pour les policiers dès le moment de l’arrestation si cette option est bien activée. Sur Android [25] Un paramètre similaire est caché dans le « mode développeur », permettant de définir le comportement par défaut lors d’une connexion USB. Le mode développeur en lui-même donne accès à beaucoup de paramètres dangereux : il s’agit donc de faire attention à ce que l’on active. Pour activer le mode développeur, il faut se rendre dans les paramètres du téléphone, puis dans « À propos du téléphone » [26] et enfin appuyer sept fois sur le « numéro de build » : un message devrait indiquer l’activation. Retourner dans les paramètres, et aller dans « Options de développeurs » (tout en bas). Une fois dedans, descendre jusqu’à « Sélectionner une configuration USB », cliquer dessus et sélectionner « Batterie en charge ». L’appareil se connectera alors en mode « charge uniquement » par défaut.
Cela va de soi, à moins que l’appareil affiche une notification lors de la connexion, il faudra repasser en mode « MTP » (transfert de données) dans ce même paramètre pour pouvoir transférer des données en USB.
Cette stratégie ne garantit pas une protection à 100%, du fait de failles pouvant exister dans les chargeurs intelligents ou dans les protocoles de sécurité mis en place par les constructeurs, mais elle diminue drastiquement la possibilité pour le kiosk de profiter de failles de sécurité ou même simplement d’identifier l’appareil.

 

  • Pour les bidouilleur-euses

Enfin pour celleux qui aiment bidouiller, il est préférable d’installer des ROMs stocks uniquement (ou au moins signées, comme GrapheneOS), et de reverrouiller le bootloader une fois l’installation faite : le cas contraire, l’appareil devient une passoire en terme de sécurité « physique ». Même chose pour le root, à éviter car même s’il rebouche souvent l’exploit utilisé pour se mettre en place, crée systématiquement des failles additionnelles. Enfin si vous possédez un téléphone avec une surcouche fournie par le constructeur (des modifications et ajouts par-dessus Android, comme c’est le cas sur beaucoup d’appareils Samsung), il peut-être intéressant d’installer une ROM « stock » (sans surcouche), les surcouches en question créant souvent des problèmes de sécurité.

_______

Notes

[1] La question des attaques par canaux auxiliaires ne sera pas traitée ici, car trop complexe à expliquer et trop coûteuses à appliquer pour être utilisées en dehors de quelques cas très rares à l’échelle mondiale

[2] Cet article traite uniquement d’iOS et d’Android (et ses dérivés), les autres systèmes étant à la fois trop minoritaires et trop peu sécurisés

[3] voir l’affaire Shadow Brokers et les révélations de Edward Snowden

[4] des plateformes mises en place par les sociétés sur lesquelles les chercheur-euses peuvent signaler des failles de sécurité et être rémunérés en fonction de la dangerosité et la complexité de la faille. Hacker One est par exemple un poids lourd du marché.

[5] on parle de TEE pour « Trusted Execution Environment », et de « Secure Enclave » dans son implémentation par Apple

[8]  »UFED« étant avant tout un terme marketing de Cellebrite, mais le concept lui existe bel et bien.

[20] en théorie, évidemment. Mais du fait de l’effort requis pour falsifier des preuves informatiques, cette stratégie en vaut rarement la peine pour les enquêteurs, comparée à d’autres moyens de pression plus directs.

[22] en faisant une recherche du terme « ommissariat » (pour chercher indifféremment d’un « c » majuscule ou minuscule), on trouve 671 résultats sur ce jeu de données issu d’une carte des commissariats et gendarmeries, et 665 sur cette liste des services de police accueillant du public, au 22 janvier 2020.

[23] Emergency Download Mode, un mode de maintenance permettant de contourner certains mécanismes de sécurité au démarrage, servant à la base à réparer l’appareil

[25certains appareils samsung ayant des versions d’Android datées utilisent par défaut le mode USB « MTP » (transfert de données), et peuvent donc nécessiter de passer par un code « USSD » : il faut pour cela ouvrir l’application d’appel composer le « *#0808# » et appeler. Cela aura pour effet non pas de déclencher un appel mais d’ouvrir des options USB.

[26] L’emplacement pouvant légèrement varier selon les versions et les surcouches, se référer à la page de documentation (en anglais) sur cette fonction