jeudi 24 mars 2016

Le Bureau (FBI) vs. La Firme (Apple) : deus ex machina ?

Préambule. Après l’attaque terroriste de San Bernardino (Californie) qui fit 14 victimes en décembre 2015, le FBI mit la main sur l'iPhone d’un djihadiste et demanda à Apple d'accéder aux contenus chiffrés du smartphone. Mais la firme à la pomme refusa au nom de la protection des données personnelles de ses clients. Entre dilemmes cornéliens et pièges abscons dans une ambiance claire-obscure, le Bureau et la Firme s'étaient engagés dans une féroce bataille judiciaire et médiatique passablement décryptée quelques jours plus tôt sur ce blog. Deux jours avant le procès, le FBI avait requis l'annulation de la procédure judiciaire (sommant Apple de fournir son assistance) du fait de l''intervention d'une mystérieuse tierce partie.



Dans l'article précédent consacré au duel opposant le Bureau et la Firme, j'avais évoqué l'hypothèse d'un contractuel du FBI en informatique légale ou en récupération des donnéesEn l'occurence, il s'agit de Cellebrit, entreprise israélienne spécialisée dans l'informatique légale (ou computer forensics, qui est à l'investigation numérique ce que la médecine légale est à l'enquête criminelle) pour terminaux mobiles. Cette filiale de la firme japonaise Sun fournit ses services à une centaine de services de police, d'administrations judiciaires et d'armées dans le monde et est une partenaire du FBI depuis 2012. Sa solution Universal Forensics Extraction Device (UFED) a eu raison du chiffrement du Blackberry et ferait de même avec celui du Samsung Galaxy S7 bientôt disponible à la vente. Selon son dirigeant Leoor Ben Peretz, l'entreprise a récemment estimé qu'UFED peut également venir à bout du chiffrement intégré au système d'exploitation iOS 8 intégré à l'iPhone 5C, sans risque d'effacement de la mémoire et de ses contenus tant convoités par le Bureau.



Selon l'expert en informatique légale Jonathan Zdziarski alias NerveGas dans son blog éponyme, Cellebrite aurait recours à une technique consistant à : 1/ extraire physiquement la mémoire Flash NAND du smartphone, 2/ copier son contenu, 3/ accéder à cette copie grâce à un lecteur externe de mémoire Flash NAND, 4/ tester plusieurs mots de passe par force brute sur cette copie.

Dans une situation normale, le système d'exploitation iOS 8 efface automatiquement la mémoire Flash NAND après dix essais infructueux de l'utilisateur sur le clavier du iPhone. Mais Cellebrit peut multiplier à volonté les attaques par force brute (par séquences plafonnées à dix essais) sur les copies possibles à l'infini, à l'image d'un joueur qui tenterait autant de fois que possible sa chance dans une session de jeu vidéo préalablement sauvegardée... en espérant qu'Apple n'ait guère prévu un mécanisme de sécurité en cas de désolidarisation du module Flash NAND de la carte-mère du iPhone 5.



Cette technique dite du NAND Mirroring étant certainement très laborieuse (et pas nécessairement efficace sur des versions plus récentes telles que l'iPhone 6 et compagnie), le FBI avait réclamé un report de séance au 5 avril (soit deux semaines d'expérimentation), date à laquelle il devra remettre ses conclusions au tribunal fédéral de Californie. Qu'adviendra-t-il au cas où le Bureau rentrerait vaincu ou bredouille ?

En attendant le prochain round du match FBI-Apple, l'étoile de la cybersécurité Bruce Schneier fait une judicieuse piqûre de rappel : "Rappelons-nous que les attaques deviennent toujours plus faciles. La technologie étend considérablement les possibilités et ce qui était difficile aujourd'hui devient facile demain. Les programmes secrets de la NSA aujourd'hui seront les thèses de doctorat de demain, et les outils de piratage le jour suivant. Bientôt, cette faille [exploitée par le FBI] sera aussi exploitée par des cybercriminels en quête de vos données financières. Chaque détenteur d'iPhone est soumis à un risque, peu importe les exigences du FBI envers Apple."

Aucun commentaire: