San Bernardino : le FBI a payé plus de 1,3 million de dollars la faille de l'iPhone 5c

Stéphane Moussie |

Le directeur du FBI a déclaré que la faille zero day qui a permis de déverrouiller l'iPhone 5c de San Bernardino avait coûté plus cher que le cumul de son salaire pour les années à venir, rapporte Reuters.

James Comey est en poste pour encore sept ans et gagne 183 300 $ par an. La faille a donc coûté au minimum 1,3 million de dollars. Cela en fait la vulnérabilité connue la plus chère jamais achetée. Le précédent record était détenu par une technique de la firme Zerodium pour pénétrer des smartphones qui avait été monnayée 1 million de dollars.

Concernant cette grosse dépense, le directeur du FBI a déclaré « à mon avis, cela en valait la peine. » L'iPhone 5c du terroriste de San Bernardino ne contenait pas de nouvelle information... ce qui est une information en soi pour les enquêteurs.

James Comey a par ailleurs déclaré que le FBI allait pouvoir utiliser cette technique avec d'autres iPhone 5c fonctionnant sous iOS 9. Apple a pour sa part indiqué récemment qu'elle n'avait pas l'intention de poursuivre les autorités pour connaitre la vulnérabilité. En revanche, elle pourrait encore rehausser la sécurité de ses appareils et de ses services en ligne à l'avenir.


avatar EroMac | 

Ça faire chère la faille !!

avatar C1rc3@0rc | 

«James Comey est en poste pour encore sept ans et gagne 183 300 $ par an. La faille a donc coûté au minimum 1,3 million de dollars. Cela en fait la vulnérabilité connue la plus chère jamais achetée.»

La plus chère achetée officiellement!
Parce que sur le marché noir, que ce soit pour de l'espionnage économique ou pour les activités criminelles des mafias les sommes en jeu sont astronomiques.
Et on ne parle pas des failles achetées par les organismes bancaires pour se préserver des attaques sur leurs softs spécifiques...

Pendant ce temps les méthodes illégales du FBI risquent de faire relâcher dans la nature un criminel avéré et dangereux!
Le FBI avait piraté le réseau TOR au moyen d'un cheval de Troie et collecté des milliers d'adresses IP en toute illégalité.
Le FBI avait alors arrêté des suspects et parmi eux finalement un criminel bien réel, mais les preuves incriminant cet individu malfaisant et méprisable ne sont pas recevables car obtenues illégalement!!!
L'élément le plus scandaleux est que la méthode employée par le FBI aurait pu être légale si le FBI avait au moins respecté la loi et avait agit sous le contrôle d'un magistrat compétent!

Ce qu'a fait le FBI est très grave, en plus d'être illégal (la court n'a rien pu faire pour sauver les preuves, même pas invoquer un cadre d'exception) , et il est a espérer que d'autres preuves puissent être trouvées pour mettre sous les verrous le criminel.
Mais cela est encore plus grave dans le cadre de San Bernardino, car les méthodes illégales du FBI auraient pu compromettre une enquête anti-terroriste (notamment s'il y avait eu des preuves sur l'iPhone 5C) et le FBI aurait alors pu se retrouver accusé d'obstruction dans une procedure anti-terroriste!

avatar robrob | 

@C1rc3@0rc
Hmm elles sont ou tes sources pour dire que leurs methodes sont illegales dans le cadre de cette enquete? Je te vois commenter sur tous les articles faisant reference a cette affaire comme si tu etais un juriste americain connaissant parfaitement leurs lois, mais j'ai comme un doute...

avatar Mécréant | 

@C1rc30rc:

La différence entre la première affaire dont vous parlez et la seconde:
- dans la première, si le bonhomme est relâché... il est relâché.
- dans la seconde, si le bonhomme est relâché... il reste mort!

Plus sérieusement,

- je rejoins robrob sur sa question: que connaissez-vous des lois US en matière de terrorisme? Comme je vous l'ai suggéré précédemment, les lois ne sont pas manichéennes, mais complexes... Votre première affaire (laquelle à ce propos?), contrairement à la seconde si je comprends bien, ne concernait pas le terrorisme: les règles ne sont pas les mêmes.

- dans votre première affaire, les preuves ont été collectées "en aveugle" et "sur le réseau", dans la seconde, elles le sont de manière "ciblée" (sur un appareil utilisé par un "suspect" et saisi également après un acte criminel; les données se trouvant sur l'appareil, non ailleurs): la situation est donc différente

- il semblerait que ce qui intéressait le FBI n'était pas des preuves (s'ils tenaient à ce que les données ne soient pas altérées par la manipulation, il a été précisé qu'ils n'estimaient pas absolument nécessaire de les passer par une cour), mais une manière d'arriver à remonter une filière

avatar marc_os | 

@Mécréant :
Et toi « qui es-tu pour » ?

avatar Mécréant | 

@marc_os:

Je pense m'être mal fait compris...

Contrairement à C1rc30rc, je n'affirme rien: je me contente de poser trois éléments de réflexion. Libre à chacun d'ajouter d'autres éléments: c'est même souhaitable afin de nourrir la réflexion. Je préférerais juste que ce ne soient pas des affirmation péremptoires...

avatar C1rc3@0rc | 

La différence entre la première affaire dont vous parlez et la seconde:
- dans la première, si le bonhomme est relâché... il est relâché.
- dans la seconde, si le bonhomme est relâché... il reste mort!

L'enquête dans les 2 cas a pour but de prévenir la survenue d'autres crimes.

Dans la 1ere Le FBI a agit illégalement ce qui a contraint le tribunal a rejeter les preuves permettant de mettre hors d'état de nuire le criminel.
A cause du FBI la société est toujours menacée par le criminel. Pire encore ce criminel agissant avec son réseau, il va probablement falloir recommencer l'enquête pour trouver de nouvelles preuves pour casser le réseau et mettre en prison les criminels, qui vont se cacher un peu plus et faire moins d'erreurs.

Dans la seconde, le FBI a refusé de traiter l'affaire dans le cadre anti-terroriste et l'a gardé au niveau d'une simple enquête criminelle, cela dans un but politique.
Le FBI a tenté de faire faire a Apple un acte illégal (et anticonstitutionnel), ce qui impliquait la aussi l'irrecevabilité des preuves s'il y en avaient eu.
Les conséquences auraient été les mêmes mais bien plus grave encore, car il s'agit ici de la lutte contre l'EI et du terrorisme de masse.

Dans les deux cas il y a illégalité de la part du FBI (et donc de l'administration ) et donc pertes de preuves, pertes de moyens d'action, pertes de temps.
Et les futurs victimes et leurs entourages seront autant victimes des criminels et soldats de l'EI que celles du FBI est de ses méthodes illégales.

Le FBI, et donc l'administration, a menti sur toute la ligne, s'est comporté de manière scélérate et a voulu dénaturer les lois et dégrader la Constitution. Ses actions étaient illégales et illégitime et le résultat est déjà catastrophique et pourrait être encore pire.

Le fait est que l'Etat doit rester sous le contrôle du peuple et de la Justice et un Etat administratif n'est rien d'autre qu'une dictature qui menace la population.

avatar Mécréant | 

@C1rc3@0rc

« Dans la 1ere Le FBI a agit illégalement ce qui a contraint le tribunal a rejeter les preuves permettant de mettre hors d'état de nuire le criminel. »

Nous sommes bien d’accord : si les règles US sont les mêmes qu’ici (Belgique), la Justice ne peut utiliser de moyens détournés (piratage/écoutes/etc.) au hasard : il faut que tout cela soit motivé (suspicion) et ciblé (une personne visée). Donc, dans le cas de votre bonhomme qui est repéré grâce à un piratage du réseau TOR et la collecte de milliers d’adresses IP, il me semble évident qu’il y a illégalité dans la collecte des données. Dans un pays aussi procédurier que les USA, je suis étonné qu’ils aient tenté d’utiliser ces données comme preuves plutôt que de commencer à surveiller le bonhomme étroitement… et légalement ! Maintenant, je n’ai jamais entendu parler de cette affaire. Peut-être pourriez-vous me transmettre un lien afin que je puisse me faire une idée plus précise ?

« Dans la seconde, le FBI a refusé de traiter l'affaire dans le cadre anti-terroriste et l'a gardé au niveau d'une simple enquête criminelle, cela dans un but politique. »

J’ai dû louper ce passage : je m’étais arrêté au 2 décembre, lorsque le FBI requalifiait cette attaque en « acte terroriste ». Je me souviens d’ailleurs des commentaires à l’époque estimant que le FBI allait trop vite en besogne… Peut-être pourriez-vous me transmettre un lien pour éclaircir ce point, car l’assignation d’Apple par le FBI (https://assets.documentcloud.org/documents/2714001/SB-Shooter-Order-Compelling-Apple-Asst-iPhone.pdf) concerne bien les avocats de la « Terrorism and Export Crimes Section »

avatar Mécréant | 

@C1rc3@0rc:

« Le FBI a tenté de faire faire a Apple un acte illégal (et anticonstitutionnel) »

Comme dit plus tôt, les lois –comme la Constitution– sont imparfaites et soumises à interprétation. Lorsque le FBI demande à une cour de forcer Apple à déverrouiller un iPhone, nous ne sommes pas dans l’illégalité, mais dans l’imperfection des lois : le FBI se base sur une interprétation du All Writs Acts qui prévoit une aide « raisonnable » des sociétés.

Tout dépend donc de ce qu’on entend par « raisonnable ». Le FBI demandait un déblocage en trois points (éviter l’auto-erase ; permettre au FBI d’envoyer des codes autrement que manuellement ; éviter les temps supplémentaires entre plusieurs essais). La manipulation aurait nécessité une signature d’Apple et ne pouvait pas modifier iOS ou le contenu du téléphone. Le tout se serait déroulé sous contrôle judiciaire.

Étant donné que ce déblocage aurait nécessité la création d’un firmware (ça, c’est un fait), Apple jugeait qu’il aurait pu mettre en danger la sécurité des tous les iPhones (probabilité TRES élevée: il aurait suffit que ce firmware soit "exporté") et que ce n’était donc pas « raisonnable » (c’est ici que se situe le problème de l’interprétation). Devant le refus (logique selon moi) d’Apple de créer un tel programme, c’était à la cour de décider. Si cette dernière avait poussé Apple à le créer, on n’aurait pas pu dire qu’il y avait illégalité… juste une divergence dans l'interprétation de la loi.

Autre élément de réflexion : si le téléphone était resté sous un iOS plus ancien –et donc moins bien protégé– Apple l’aurait débloqué, comme elle l’a fait dans de nombreuses autres enquêtes. En quoi le fait que la sécurité du téléphone soit plus élevée rend-il la manipulation (déblocage) illégale ?

avatar TheRV | 

Si j'étais contribuable américain je serais en colère que mon gouvernement ne puisse contraindre Apple à déverrouiller ce foutu téléphone. Plein de choses peuvent être faites avec une telle somme, quel gaspillage

avatar bellague | 

@TheRV :
D'un autre côté, quand on voit l'argent que l'on dépense chez nous pour des conneries, nous ne valons guère mieux...

avatar C1rc3@0rc | 

Ben faudra un jour chiffrer réellement l'installation des "boites noires" de Kazeneuve, les couts réels du filtrage et censure du WEB, les fermetures administratives de sites WEB, la constitution de fichiers extensifs, la transcription du Patriot Act dans le droit administratif français et même l'altération du droit français qui en résulte, et puis toutes les magouilles autour de l'économie numérique en passant pas la collecte publique de rentes a destination de personnes privées et autres Hadopi...

Ce qui est le plus détestable c'est que ces mesures sont faites en catimini, souvent par circulaires administratives, donc sans procedure démocratique, et encore moins de vérification constitutionnelle...

@TheRV oublie juste une petite chose, c'est que le gouvernement américain avait tous les moyens légaux a sa disposition pour traiter l'affaire, et a priori et a posteriori. Ce n'est que parce que le FBI, sur ordre de la Maison Blanche, s'est lancé dans une action totalement illégale que cette somme a du être dépensée, en pure perte!
Et il ne s'agit que du cout partiel, et il aurait pu être bien plus élevé, en argent et en vies humaines!

avatar Domsware | 

@TheRV :
Pour moi j'aurai râler que mon gouvernement utilise une telle somme pour financer une action quasi malhonnête.

avatar robrob | 

@Domsware
Quasi malhonnete de savoir ce qui est dans le telephone d'un terroriste? Faudra qu'on m'explique la logique la, a part le fait qu'Apple est contre et que forcement on a le groupe d'habitues qui suit la parole sainte.

avatar Mécréant | 

@robrob:
Apple n'était pas contre le déverrouillage de cet iPhone. Leur position était qu'il ne leur était pas possible de le déverrouiller, mais qu'ils étaient prêts à collaborer dans la mesure du possible (les données sur iCloud, si je me souviens bien, étaient elle accessibles)

avatar enzo0511 | 

@TheRV :
Le gouvernement français gaspille l'argent public à tout va...

Pas besoin de juger le gvt US...

On ferait mieux de balayer devant notre porte

avatar marc_os | 

@enzo0511 :
C'est pour ça qu'il y a des élections. T'es pas content ? Tu votes pour quelqu'un d'autre.
Les égoïstes de tout poil qui ne veulent pas payer d'impôts pour les écoles, les routes, l'armée qui lutte contre le terrorisme et le service publique ont toujours eu ce genre de discours à prétendre que l'argent publique serait gaspillé.

avatar C1rc3@0rc | 

@TheRV
«Plein de choses peuvent être faites avec une telle somme, quel gaspillage»

Tu veux dire comme payer des gardes-forestiers, des pompiers, des policiers de proximité, des profs, des médecins, réhabiliter des bâtiments publics comme des écoles ou des hôpitaux, du traitement et recyclage de déchets, réhabilitation du réseau routier...

Maintenant tu peux aussi prendre en compte un chiffre: 660 milliards de dollars, soit 1.8 milliard de dollar par jour!
C'est le budget officiel militaire américain.
Ca ne prend pas en compte le financement des agences d'espionnage et de "sécurité" américaines.

avatar Hoooti | 

Directeur du FBI, 183K$/an ... Trop peu pour avoir qqn de compétent (AMHA).
Ceci explique cela.

avatar fousfous | 

Depuis le début on disait qu'il y avait rien dedans parce qu'il avait pas été détruit... Et ça se dit enquêteur... Ou alors ils ont l'habitude d'avoir affaire avec des debiles

avatar alan1bangkok | 

@fousfous :
Depuis le début on disait qu'il y avait rien dedans parce qu'il avait pas été détruit... Et ça se dit enquêteur... Ou alors ils ont l'habitude d'avoir affaire avec des debiles.....

mouhahaha impressionnant commentaire, mais...
foufous est toujours jeune . Dans 50 ans il aura toujours 8 ans
prions !

avatar bta_bloquant | 

183.000 $ par an, pour un directeur du FBI, bah c'est pas grand chose je trouve... Quand je vois que nos inutiles sénateurs sont payés 11.400€ par mois soit un peu moins de 140.000 annuel (et encore, on passe les avantages en nature).

avatar CNNN | 

Imaginez, plus d'un million de repas...

CONNEXION UTILISATEUR