Hack back : Signal expose les failles de sécurité des outils d'analyse forensique de Cellebrite
D'après Moxie Marlinspike, le CEO de Signal, le logiciel d'extraction de données de Cellebrite n'est pas du tout sécurisé et ne contient aucun mécanisme de vérification des informations reçues. En effet, n'importe qui pourrait inclure un fichier dans une application ciblée par Cellebrite afin de faire exécuter du code arbitraire au logiciel. Bien que présenté sur un ton léger, le billet se veut un avertissement contre les tentatives d'interférer avec le fonctionnement de Signal.
Moxie Marlinspike, le CEO de la messagerie chiffrée Signal, a publié le 22 avril un billet de blog dans lequel il démontre que les logiciels commercialisés par Cellebrite ne sont aussi sécurisés que la société israélienne le prétend. "Nous avons été surpris du peu de soin que Cellebrite apporte à la sécurité de ses logiciels", écrit l'expert en cybersécurité.
Extraire et analyser des données
Cellebrite est une société israélienne spécialisée dans l'analyse forensique (la recherche de preuves) sur des supports numériques. Elle commercialise deux logiciels. L'UFED (Universal Forensic Extraction Device) permet d'accéder à des données contenues dans des terminaux pour lesquels les enquêteurs n'ont pas les mots de passe. Physical Analyzer leur permet ensuite d'analyser les fichiers récupérés et de les afficher dans une format lisible sur ordinateur.
Ces logiciels sont utilisés par les forces de l'ordre de nombreux pays pour les besoins des enquêtes policières. Mais également par des régimes autoritaires, tels que la Russie, le Venezuela ou encore la Chine, contre des militants ou des journalistes, déplore Moxie Marlinspike dans son billet de blog.
Cellebrite dit avoir "casser" le chiffrement de Signal
Il rappelle également la campagne de communication menée par Cellebrite dans laquelle il affirmait en décembre dernier avoir "casser" le chiffrement de bout en bout de la messagerie Signal grâce à l'UFED, avant de se raviser quelques jours plus tard. En effet, en réalité, la société israélienne ne peut qu'automatiser la collecte et la lecture des conversations à condition que le smartphone soit déjà déverrouillé.
Dans son billet de blog, le CEO de Signal raconte avoir accédé au matériel de Cellebrite grâce à une valise "tombée d'un camion". Elle contenait la dernière version des logiciels et de nombreux câbles permettant de brancher un terminal à l'extracteur de données. Il a découvert que n'importe qui pouvait très facilement falsifier les données envoyées au logiciel.
Falsifier des preuves
En effet, il a constaté qu'il est possible de faire "exécuter du code arbitraire" au logiciel UFED en incluant un fichier dans n'importe quelle application contenue dans un appareil cible. "Il n'y a pratiquement aucune limite sur le code qui peut être exécuté", ajoute-t-il. Cela signifie que le logiciel ne dispose d'aucun mécanisme de vérification de l'information qu'il reçoit via un terminal.
L'unique solution pour Moxie Marlinspake serait tout simplement d'arrêter d'utiliser l'UFED le temps de le mettre à jour afin de corriger cette faille de sécurité. A fin de son billet de blog, en guide de conclusion et sur le même ton espiègle, il met en garde Cellebrite contre toute tentative d'espionnage de Signal.
En effet, il déclare que "sans rapport avec tout ça", les futures versions de la messagerie incluront désormais des "fichiers qui n'auront pas d'utilité et n'interagiront jamais avec Signal". Sous-entendu : ils sont là pour exploiter les failles de Cellebrite en cas de tentative de récupération de données. Pour l'instant, la société israélienne n'a pas réagi à cette publication.
SUR LE MÊME SUJET
Hack back : Signal expose les failles de sécurité des outils d'analyse forensique de Cellebrite
Tous les champs sont obligatoires
0Commentaire
Réagir