Fermer le menu
 

Un Mac chiffré résiste (presque) à un expert judiciaire

Stéphane Moussie | | 18:21 |  63

Alors que les appareils iOS sont chiffrés quasiment par défaut depuis l'iPhone 3GS (il suffit d'activer le verrouillage par code pour que le chiffrement soit activé), ce n'est pas encore le cas sur les Mac, mais Apple pousse à l'utilisation de FileVault avec Yosemite. Est-ce que cette mesure de protection est efficace ? Un informaticien expert judiciaire donne la réponse sur son blog.

Zythom, comme il se fait appeler, raconte depuis plusieurs années des anecdotes sur ses expertises informatiques réalisées dans le cadre d'enquêtes judiciaires. Dans son dernier billet « Le disque dur chiffré », il revient sur une analyse « plutôt ancienne » qu'il a dû faire sur un Mac dont le disque dur était chiffré.

L'activation de FileVault, le système de chiffrement d'OS X, est proposée à l'installation de Yosemite.

Mais avant de pouvoir mettre le nez dans le disque dur, encore faut-il pouvoir l'extraire de la machine, ce qui n'est pas une mince affaire :

Je cherche sur internet de l'aide et, après quelques instants, trouve le site d'un passionné qui explique comment entreprendre l'opération chirurgicale. Première étape : fabriquer les outils de démontage. [...] Comme à chaque fois, je ne dois laisser aucune trace : le matériel qui m'est confié ne doit pas être endommagé. Dans ce cas particulier, aucune vis n'apparaît. Il va falloir ouvrir l’œuvre d'art par petites pressions délicates pour déclipser les différents éléments.

Interrogé par nos soins sur le modèle de Mac en question et la version du système, Zythom n'a pas donné plus de détails. Après avoir meulé des brosses à dents pour en faire des tournevis mous, l'expert parvient à ouvrir la machine.

Je place le disque dur dans ma station d'analyse et démarre le processus de copie numérique avec blocage d'écriture. Il va durer toute la nuit. [...] Nous sommes dimanche : la copie numérique s'est terminée, les hashs MD5 ante et post copie montrent que le contenu disque dur n'a pas été modifié et que la copie est fidèle. Je souffle un peu.

Je commence l'analyse inforensique de la copie numérique pour répondre à la mission. Et là, surprise : l'ensemble du disque dur est chiffré.

Aïe.

Pour accéder au contenu du disque dur, il faut le mot de passe qui a servi à le chiffrer. Sauf que le propriétaire a refusé de le divulguer. Ne reste alors plus que la manière forte. L'informaticien met en route son ordinateur le plus puissant et lance des programmes d'attaque par force brute réglés sur une semaine de calculs.

Après plusieurs jours de calculs, l'attaque par force brute ne donne toujours aucun résultat et l'expert judiciaire commence à se résigner. « Un bon chiffrement associé à un bon mot de passe n'est pas déchiffrable, même avec des moyens illimités. Alors, moi, avec mes petits ordinateurs de simple particulier... »

En relisant une nouvelle fois la mission qui stipule qu'il doit indiquer si oui ou non le fichier « SECRETINDUS.xls » est ou a été présent sur le Mac, une drôle d'idée lui vient à l'esprit ; chercher la chaîne de caractères « SECRETINDUS » sur l'ensemble du disque dur.

Et ça marche ! Le chemin de stockage du fichier « SECRETINDUS.xls » apparait sous ses yeux. Comment est-il possible de trouver des données en clair à l'intérieur d'un disque dur chiffré ?

Après quelques heures d'analyse avec mon éditeur hexadécimal, je comprends que le système d'exploitation de l'ordinateur portable que j'ai à analyser a un petit défaut (corrigé par Apple depuis) : lorsque les batteries de l'ordinateur arrivent au bout du bout, l'ordinateur fait en urgence une copie non chiffrée de la mémoire sur le disque dur, pour permettre une récupération des données de l'ordinateur lors du redémarrage. C'est ce dump que je peux explorer en clair, avec la chance d'y trouver la trace d'accès au fichier demandé...

Cette histoire soulève une question : est-on obligé de fournir à un expert judiciaire, un policier ou un douanier son mot de passe ? Zythom pointe l'article 434-15-2 du Code pénal :

Est puni de trois ans d'emprisonnement et de 45 000 euros d'amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.

Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à cinq ans d'emprisonnement et à 75 000 euros d'amende.

Mais il nous indique aussi que « sans être juriste, je pense qu'il est quand même possible de plaider le droit au silence mentionné dans le pacte international relatif aux droits civils et politiques dont la France est signataire  » :

Toute personne accusée d'une infraction pénale a droit, en pleine égalité, au moins aux garanties suivantes : [...] g) A ne pas être forcée de témoigner contre elle-même ou de s'avouer coupable.

Rue89, qui a interrogé des avocats et des gendarmes, va dans ce sens. La Cour européenne des droits de l’homme reconnaît le droit de ne pas participer à sa propre incrimination. Cela comprend le fait de ne pas donner son mot de passe ou sa clé de chiffrement.

Catégories: 

Les derniers dossiers

Ailleurs sur le Web


63 Commentaires Signaler un abus dans les commentaires

avatar JLG01 17/03/2015 - 18:41

Cela étant, et littéralement, avoir crypté son disque dur ne répond pas strictement à "moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit" dès lors que c'est l'ensemble du disque qui est chiffré et qu'il faudrait démontrer que c'est dans ce but que le chiffrement a été effectué.
Mais cela pourrait ce plaider, à charge comme à décharge.

avatar apple_julien 17/03/2015 - 18:50 (edité)

Rue 89 a fait un article intéressant sur le sujet y'a pas longtemps : http://rue89.nouvelobs.com/2015/02/05/si-police-demande-est-oblige-donne...

avatar Stéphane Moussie macG 17/03/2015 - 19:40

@apple_julien : merci pour le lien, j'ai mis à jour l'article.


avatar colossus928 17/03/2015 - 19:10 via iGeneration pour iOS

J'avais trouvé un article assez intéressant dans le genre il y a quelques mois. Soit sur macg (non cité donc je doute) soit sur un site Apple US. Bref un de ceux là :
https://www.google.fr/search?q=justice+password+touch+id&ie=UTF-8&oe=UTF...

En gros ça rappelle bien qu'on n'est pas forcé de témoigner contre soit même, mais que cependant, la justice peut nous demander de poser notre doigt sur un capteur d'identification comme celui de notre téléphone pour le déverrouiller.

avatar apple_julien 17/03/2015 - 19:20 (edité)

/!\ Attention aux articles en anglais sur le sujet. Ils sont souvent basés sur un droit qui n'est pas le droit français. Il peut y être dit des choses qui ne s'appliquent pas chez nous.

Pareil, attention à ce que vous voyez dans les séries US : c’est soit complètement faux, soit vaguement faux, soit pas basé sur notre droit français (je pense par exemple au mandat de perquisition qui n'existe pas en France - la perquisition fonctionne de manière différente : obligation de présence, commission rogatoire, etc.).

avatar ShugNinx 18/03/2015 - 21:07

Il me semblait que chez nous en France un mandat émis par un juge était obligatoire autoriser une perquisition. Pouvez-vous m'éclairer ?

avatar Cap.Achab 20/03/2015 - 22:48

Le mandat à l'américaine n'existe pas, mais il faut bien une commission rogatoire délivrée par le juge d'instruction pour effectuer une perquisition.
Le problème c'est qu'alors que le mandat est borné et précis, sur une tache ou un élément précis de l'enquête, la commission rogatoire est souvent large et floue, permissive au possible pour les forces de police. Par exemple, on n'obtient pas de fouiller l'appartement de M. X pour obtenir un appareil électronique, on a l'autorisation d'interagir par tous les moyens légaux avec M. X sur la durée de l'enquête.

Reste que dans le cas d'un flagrant délit, l'officier de police judiciaire peut effectuer la perquisition sans commission.

avatar kaos 17/03/2015 - 19:38 (edité)

Le chiffrement as t il un impact sur les performances d'OSX ou du HD ?

J'en profite pour une autre question, pourquoi n'ai-je pas d'avatar ? Je suis pourtant sur le forum depuis 10 ans et je ne vois rien concernant mon avatar sur macg.co.

Merci d'avance

avatar LittleBigFrancois 17/03/2015 - 19:40 via iGeneration pour iOS

déjà pour sortir les SSD soudés des nouveaux Mac sans endommager la machine, opération impossible

avatar frobyr 17/03/2015 - 19:42 via iGeneration pour iOS

Hehehe, comme ça mes passions pedophiles resteront secrètes (humour noir, de très très mauvais coup je vous l'accorde)

avatar PierreBondurant 17/03/2015 - 19:49 via iGeneration pour iOS

Bien ouej le choix du nom de fichier:
SECRETINDUS.xls !!!!

Criminel c'est un métier, pas de place pour les amateurs...

avatar Shralldam 17/03/2015 - 21:00 (edité)

Il y a de fortes chances pour que ce nom ne soit pas celui du vrai fichier, mais un nom inventé pour le bien de son récit :-)

Bon, c'est vrai, chez Sony ils avaient bien un fichier password.doc :-P

avatar Stéphane Moussie macG 17/03/2015 - 21:03 via iGeneration pour iOS

@PierreBondurant : je soupçonne que ce ne soit pas le vrai nom du fichier, mais un faux pour ne pas donner d'indice sur l'affaire.

avatar PierreBondurant 17/03/2015 - 23:46 via iGeneration pour iOS

@stephmouss :

J'aurais bien vu le fichier "topsecret.xls" protégé par le mot de passe 123456 !!

avatar tchit 17/03/2015 - 20:02 via iGeneration pour iOS

Ou alors comme ils ont fait avec Ross Ulbricht (le créateur de Silk Road) :
Ils (FBI) ont détourné son attention à la bibliothèque municipale pour récupérer l'ordinateur sur lequel il avait ouvert une session. Ils étaient certains de leur coup parce qu'un agent infiltré correspondait avec lui à ce moment précis et avait la confirmation qu'Ulbricht était sur sa session cryptée. Et ce, sans avoir prévu l'opération : une arrestation était prévue à son domicile quelques jours plus tard... mais là ils se sont dit que l'occasion était trop belle.

avatar Hideyasu 17/03/2015 - 20:21 via iGeneration pour iOS

Ce que je retiens c'est que le seul moyen n'est plus utilisable, & encore c'était limité.

La police devient elle impuissante face à l'informatique ???

avatar GoldenPomme 17/03/2015 - 21:26 (edité)

"La police devient elle impuissante face à l'informatique ???"

Ils ne vont pas fournir à un simple expert judiciaire leurs outils pour casser des algo censer être encore inviolable. La gendarmerie démonte plus facilement un volume truecrypt qu'un chiffré avec l'outil de base fourni dans les distrib linux.

avatar salsa11 18/03/2015 - 05:17

"La gendarmerie démonte plus facilement un volume truecrypt qu'un chiffré avec l'outil de base fourni dans les distrib linux."
Bien ta tentative de désinformation petit agent DGSI ? Eh non, vous n'avez toujours aucun moyen pour casser TrueCrypt si le mot de passe est suffisamment fort ;)

avatar GoldenPomme 18/03/2015 - 21:01

Va en parler au script kiddies qui s'est fait péter qui a vu l'une de ses partoches TC se faire éclater plus rapidement que celle chiffrée avec l'outil de base de linux. :)

avatar salsa11 18/03/2015 - 22:44

C'est juste qu'il a configurer son conteneur comme un pied et qu'il a laisser 36000 indices sur son mot de passe, probablement comme toi :)

https://www.grc.com/misc/truecrypt/truecrypt.htm
"Yes . . . TrueCrypt is still safe to use."

https://cryptoservices.github.io/fde/2015/02/18/truecrypt-phase-two.html
https://security.stackexchange.com/questions/77197/is-truecrypt-still-safe

avatar tokugawa 17/03/2015 - 20:40 via iGeneration pour iOS

Quelque chose m'échappe.
Si c'est une enquête officielle, pourquoi doit-on faire attention à ne pas laisser de traces ? Pourquoi ne pas prendre le HD tranquillement sans être obligé de construre un tournevis mou ?

avatar Perc3val 17/03/2015 - 20:54 via iGeneration pour iOS

@tokugawa :
Oui c'est curieux en effet.

avatar XiliX 17/03/2015 - 21:37 via iGeneration pour iOS

@tokugawa :
Parce que c'est encore une enquête. Il faut chercher sans éveiller les soupçons. Au cas où les recherches durent plus longtemps.

avatar ShugNinx 18/03/2015 - 21:11 (edité)

Parce que le matériel mis sous scellés judiciaires doit être préservé "en l'état", sans quoi la preuve altérée n'est plus recevable au tribunal.
D'où les complications rencontrées par les experts informatiques judiciaires, qui doivent utiliser des "bloqueurs d'écriture" pour les stockages qu'il connectent à leur machines (et dans le cas présent une difficulté d'accès au stockage principal, et une probable interdiction d'utiliser le mode target).

avatar jacques_dh 17/03/2015 - 21:42 via iGeneration pour iOS

Je croyais qu'il fallait un code de plus de 4 chiffres pour que l'iPad/iPhone soit crypté (c'est-à-dire désactiver l'option "code simple" dans les préférences), et pas n'importe quel code ?
(cf. "il suffit d'activer le verrouillage par code", dans l'article)

Pages