Arroseur arrosé : le logiciel de Cellebrite peut très simplement être hacké à son tour

Nicolas Furno |

Moxie Marlinspike, co-fondateur de la messagerie instantanée Signal, a mis la main sur du matériel fourni par Cellebrite aux autorités qui le demandent. Cette entreprise propose des solutions clés en main pour extraire le contenu des smartphones, mais aussi en Apple Store avant qu’Apple ne développe sa propre solution pour transférer les données.

Il faut dire que Cellebrite ne récupère pas les données en utilisant des fonctions fournies par les fabricants de smartphones. Son argument et tout l’intérêt pour les forces de l’ordre intéressées est précisément de permettre la récupération de données normalement chiffrées et inaccessibles. Son rôle est de contourner les protections mises en place par Apple dans iOS et Google dans Android et son logiciel maison exploite plusieurs failles de sécurité pour cette raison.

La mallette de Cellebrite « tombée du camion » et récupérée par Signal.

C’est ce qui rend les découvertes de Moxie Marlinspike aussi cocasses. En fouinant dans le logiciel de Cellebrite, le créateur de Signal a découvert un nombre impressionnant de failles de sécurité. L’entreprise israélienne n’a manifestement pas investi beaucoup d’effort dans la sécurité de son propre logiciel, avec des composants dépassés et qui souffrent de multiples failles connues. Il donne l’exemple de ffmpeg, un outil de lecture et conversion vidéo très courant, fourni dans une version de 2012 alors qu’il y a plus d’une centaine de correctifs de sécurité qui ont été publiés depuis.

Cette passoire de sécurité laisse de multiples opportunités pour hacker le logiciel de Cellebrite. Et il n’y a même pas besoin de mettre en place un mécanisme complexe : un simple fichier présent sur un smartphone peut permettre d’exécuter du code automatiquement et à l’insu du logiciel. Les possibilités sont immenses et si l’exemple donné en vidéo se contente d’afficher un message dans Windows, les conséquences d’un vrai hack seraient désastreuses pour Cellebrite.

En utilisant cette méthode, un smartphone avec le bon fichier pourrait infecter la station de travail fournie par Cellebrite et compromettre l’intégrité des rapports générés par le logiciel. Le code pourrait se charger de masquer des fichiers compromettants, ou alors de générer des rapports entièrement faux, ce qui invaliderait toute la procédure d’enquête ou un procès selon les cas. Et en l’état, cette attaque serait permanente et agirait pour tous les rapports générés par le boîtier infecté.

Vidéo qui démontre la faille de sécurité mise en avant par Signal : lors de l’extraction des données, le logiciel de Cellebrite tombe sur le fichier et exécute son code, ici qui se contente d’afficher une fenêtre de dialogue dans Windows.

Pour ne rien arranger, les recours de Cellebrite sont très limités. L’entreprise devra fournir une mise à jour de son logiciel pour boucher toutes les failles, mais étant donnée l’ampleur du problème, il y a peu de chance qu’ils parviennent à combler tous les trous de sécurité sans en oublier. Et pour tous les boîtiers en circulation aujourd’hui, le seul espoir des utilisateurs est de ne pas tomber sur un smartphone qui exploiterait la faille. La difficulté étant d’autant plus grande que le code exécuté automatiquement peut aussi masquer ses traces, empêchant efficacement toute détection.

Moxie Marlinspike propose toutefois de fournir à Cellebrite la liste de failles de sécurité découvertes pendant son analyse du logiciel. En échange, il ne demande qu’une chose : que la firme israélienne documente en retour toutes les failles de sécurité exploitées pour débloquer les smartphones. Comme cela reviendrait à rendre ses boîtiers inutiles, il n’y a aucune chance que cela arrive…

Au passage, le créateur de Signal a aussi noté que Cellebrite reposait sur des fichiers d’Apple intégrés à la version Windows d’iTunes. Ce sont eux qui permettent de synchroniser un appareil iOS, le logiciel se faisant passer pour iTunes auprès du système d’exploitation mobile créé à Cupertino. Ces fichiers sont propriétaires et sauf si Cellebrite a obtenu une licence, ce qui est improbable, ils sont utilisés sans permission. Voilà un angle d’attaque à disposition d’Apple, si elle le souhaite.

Ces fichiers installés par Cellebrite sont extraits d’iTunes et sont la propriété d’Apple. Au passage, notez les dates de création des fichiers, qui sont là encore de vieilles versions.

Cellebrite a intérêt à prendre la menace au sérieux, car Signal compte bien exploiter ces failles de sécurité. Dans une future mise à jour, la messagerie instantanée accueillera des fichiers qui exécuteront du code lorsque le smartphone concerné passera par le logiciel d’extraction fourni par l’entreprise israélienne.


avatar simnico971 | 

orge en sumérien

avatar pixelmaniac | 

Merci, c'était l'information intéressante de cette page.
Parce qu'en vrai tout ça c'est juste de la communication, Signal aurait pu la faire à l'envers à Cellebrite, pour un temps, jusqu'à ce qu'ils s'en rendent compte, mais vu qu'ils ont choisi de communiquer publiquement le combat est perdu d'avance aujourd'hui...
Yavait aucune raison securiser leur logiciel, maintenant si, et nul doute que Cellebrite sera très réactif pour défendre son fond de commerce, alors que Signal ne peut que s'épuiser dans des tentatives vaines.

avatar r e m y | 

L'iPhone de San Bernardino a été déplombé grâce à une faille de Mozilla ou grâce à Cellebrite?
Faudrait savoir !

https://www.macg.co/aapl/2021/04/liphone-de-san-bernardino-fut-deplombe-grace-une-faille-de-mozilla-120807

(Mais peut-être ne lisez-vous pas les articles que vous publiez...)

avatar dorninem | 

@r e m y

Quelle remarque gratuitement naze... 🙄

Que cela soit une faille x ou y d'une société a ou b cela importe peu et surtout cela ne de dit pas donc personne ne le saura avec certitude.

avatar MrYOSS | 

@r e m y

Cela ne sert à rien de prendre les gens de haut.
Vous remarquez une erreur ? Il y a une fonction pour signaler l’info à MacG.
L’information est récente et il n’y a pas qu’un seul rédacteur d’où cette petite erreur.
Je vous souhaite malgré tout une bonne journée

avatar Phiphi | 

@r e m y

Quel est le rapport avec cet article ???

avatar MrYOSS | 

@Phiphi

Il y avait une petite faute au début de l’article qui a été corrigé depuis.

avatar Krysten2001 | 

@r e m y

Une faille de Mozilla faites par une société australienne. Rien de difficile 😉

avatar Mickaël Bazoge | 
Toujours aussi sympathique 😘
avatar scanmb | 

@r e m y

Pas besoin d’être sarcastique avec MacG; dites leur plutôt “Merci !” Au lieu de critiquer.

avatar Tibimac | 

@r e m y

Apparemment tu n'as pas bien compris l'article haha.

L'iPhone de San Bernardino a été déplombé grâce à une faille de Mozilla, d'autres l'ont été via d'autres failles a priori inconnues et utilisées par Cellebrite dans leur logiciel.
Ici l'article dis que le logiciel de Cellebrite a lui aussi des failles qui peuvent être exploitées pour rendre l'outil inutile. C'est l'arroseur arrosé !

avatar Alex Giannelli | 

@r e m y

(Et hop, un de plus que je ne verrai plus dans les commentaires 👌🏻)

avatar anti2703 | 

« Dans une future mise à jour, la messagerie instantanée accueillera des fichiers qui exécuteront du code lorsque le smartphone concerné passera par le logiciel d’extraction fourni par l’entreprise israélienne. »

Ça va passer la validation de l’AppStore ça ? 🤔

avatar MSpock | 

@anti2703

Les ennemis de mes ennemis sont mes amis. Ça peut passer :)
Et puis c’est juste un fichier qui vise à renforcer la sécurité de l’application :)

avatar mne | 

@anti2703

Ce sera probablement indétectable tant que les validateurs d'apple ne branchent pas un appareil de celebrite pour ouvrir signal.

avatar Gwynpl@ine | 

Article intéressant :-)

avatar Liena1 | 

Ne reste plus qu’à signal de mettre un fichier « corrompu » dans son app du coup ?

avatar r e m y | 

C'est prévu ... (2 dernières lignes de l'article)

avatar Liena1 | 

@r e m y

Oups, suis allé trop vite 😅

avatar iftwst | 

Génial !

avatar 421 | 

J’aime quand les «hackers» (terme galvaudé et inapproprié mais compréhensible par tous) se font hacker par un white.
Quant au fait qu’Apple ne sache pas qu’ils détournaient une fonction d’iTunes pour accéder au contenu, je n’y crois pas un instant...

avatar David Finder | 

@421

C’est certain même. La mallette en photo dans l’article est exactement la même que celle qu’utilisait Apple dans ses Stores pour transférer les données d’un téléphone x ou y vers un iPhone.

avatar cosmoboy34 | 

Je suis pas sûr que cellebrite dérange tant que ça Apple et consorts. Ça permet à leur produits de ne pas être complètement hermétiques et calmer un peu les foudres des régulateurs.
D’un autre côté les marques peuvent se défendre que ces entreprises exploitent des failles et non des clés publiques fournies par les constructeurs

Tout le monde est gagnant et les constructeurs peuvent garder leur image auprès du grand public.
C’est la politique du moins pire et chacun tire avantage de l’existence de l’autre

avatar Nesus | 

@cosmoboy34

Ça serait vrai si Apple n’avait pas tout fait pour réduire le périmètre d’action de célébrite. Le coup de bambou étant l’impossibilité de communiquer avec un iPhone s’il n’est pas déverrouillé.

avatar R-APPLE-R | 

@Nesus

Ça existe déjà dans les réglages : face id / touch id en bas .... de rien 😉

avatar cosmoboy34 | 

@Nesus

Ah parce que tu crois vraiment qu’Apple n’a pas largement étudié le système de cellebrite d’autant plus ayant utilisé leur système et donc ayant eu des appareils à eux ? Tu crois qu’avec tous les ingénieurs et tous les moyens qu’Apple possède ils n’ont pas déjà découvert ces failles et donc mis au point une contre attaque ? J’en doute fortement

avatar raoolito | 

@cosmoboy34

et puis surtout les derniers iphones sont souvent ceux qui resistent le plus longtemps à cellebrite, mises à jour, matos updated etc…
Les mechants trafiquants de drogue doivent donc acheter chaque année des palettes avec les derniers iphones :)

avatar bunam | 

Le plus interessant aurait été de trouver quelles failles sont utilisée par Cellebrite pour rentrer dans les téléphones, aussi cela viendra certainement dans une prochaines étape...

avatar Ielvin | 

On peut la trouver où :D ?

avatar marc_os | 

> un smartphone avec le bon fichier pourrait infecter la station de travail fournie par Cellebrite et compromettre l’intégrité des rapports générés par le logiciel

Très bon.
Les malandrins n'ont plus qu'à "protéger" leur smartphone avec de tels fichiers, pour faire en sorte que l'arroseur Cellibrite soit arrosé ! Voire juste installer Signal. 😀

avatar raoolito | 

@marc_os

reste plus qu’à mettre ce fichier à dispo avec une mise à jour tous les X semaines et on est bon :D

avatar David Finder | 

@raoolito

Ce que Signal va sûrement faire, et je leur dis d’avance, « merci ! ».

avatar iTouchKiller | 

Ils vont se faire sauter

avatar CrashMidnick | 

Haha hackers sur fond de prodigy, que de bons souvenirs :)

avatar baptiste2097 | 

I hear « cheeeeeeh » in my oreillette

avatar TiTwo102 | 

Le mieux serait qu’Apple intègre ce fichier dans une MàJ iOS.

Ça marche comment Cellebrite ? Ca brute force en by-passant le délais entre chaque test ?

avatar Lem3ssie | 

@TiTwo102

Du tout. Pour la partie soft, tu as ufed 4 pc, qui permet le contournement du verrouillage iOS et Android, jusqu’à iOS 14.3 de mémoire, et Android 10. Pour iOS si le pin n’est pas connu, checkm8 jusqu’à l’iPhone X.
Pour Android, c’est beaucoup plus compliqué, EDL pour Qualcomm, mtk, physique, logique, adb, root. Beaucoup d’options.
Ca c’est pour l’acquisition.
Pour l’analyse il y a un autre logiciel, Ufed PA, c’est lui qui sera planté par signal.

avatar passingphantom | 

Peut-être Apple était-elle au courant de l'exploitation de fichiers propriétaire iTunes, ou non. Cependant si c'est"le cas, il n'est pas idiot d'attendre que quelqu'un dautre rende la chose publique pour ensuite endosser l'habit de chevalier blanc et poursuivre Cellebrite en justice. De toute façon, Apple n'aura pas le choix, elle qui se fait le porte-étendard du respect de la vie privée. Bref, tout le monde y gagne.... sauf Cellebrite mais j'ai envie de dire, bien fait pour eux! Certes, s'il ne sagit pas d'encourager les crimes, ces boîtiers Cellebrite sont aussi utilisés par les dictatures contre les opposants. Aux États-Unis, même les écoles utilisent ces boîtiers pour entrer dans les téléphones des élèves. Alors oui, bien fait pour Cellebrite!

avatar YetOneOtherGit | 

Price Less 😂😂😂😂

avatar Ali Baba | 

J’ai comme l’impression que ce monsieur va recevoir une visite du Mossad.

avatar chtiblues | 

Donc si les forces de l'ordre ou de justice d'un pays utilisent ce genre de mallette, il suffit à un propriétaire du phone contenant des fichiers compromettant dedans, d'avoir ce genre de fichier qui génère de faux rapports pour que tous les éléments compromettants soient jugé irrecevable genre "vice de forme" et ce même si par la suite il est prouvé que le phone contient bien des fichiers compromettants. Ça ne va pas tomber dans l'oreille de sourds, si j'était un criminel en capacité de me payer un pro en informatique je demanderai carrément qui si ce genre de mallette était connectée à mon phone, un programme se lance et efface tout.

avatar Lem3ssie | 

@chtiblues

Ce n’est pas possible, la plupart du temps.
Pour iPhone par exemple, la faille utilisée est de très bas niveau.
L’exploit est lancé trop tôt pour que l’OS n’intervienne.
Comme je l’ai dit dans une précédente réponse.
Je pense que ufed physic analyser ou reader au pire, qui va décoder l’extraction et va être confronté à une chaîne dont il ne va pouvoir prévenir l’exécution.
Cette chaîne exécutera ce pour quoi elle a été écrite, altérer les métadonnées d’un fichier, en supprimer d’autres, corrompre l’extraction.
L’imagination est sans fin.

Et puis le coup de la mallette tombée du camion….
La mallette n’est rien toute seule.
Il faut la licence, depuis le dongle, les serveurs de cellebrite ou un .bin.
La malette ne contient que les câbles à relier aux appareils et à l’ordi.

avatar Lem3ssie | 

@Lem3ssie

Je me corrige, en relisant l’article, c’est bien ufed4pc qui serait vulnérable.
J’attends la mise à jour pour rapide, pressé de voir les notes de version.

avatar Lemmings | 

Petite erreur sur la dernière capture, vous dites "Au passage, notez les dates de création des fichiers, qui sont là encore de vieilles versions.", sauf que c'est la colonne "date de modification" qui est affichée, impossible de savoir l'âge des fichiers avec ça 😉 windows permet pas mal de choses sur ces colonnes, parfois bien trop mais bon...

avatar v1nce29 | 

J'ai renoncé à chercher à comprendre la signification date de création date de modification dans Windows.

avatar marc_os | 

@ v1nce29

En fait, si j'ai bien compris, la "date de création" sous Windows est la date de création du fichier dans le système de fichiers, pas la date de création absolue du fichier : En effet, dès qu'on copie un fichier, la date de création de la copie, soit en fait la date de copie, remplace la date de création d'origine.

C'est pour ça que c'est troublant:
Si j'ai modifié le fichier hier et que je le copie aujourd'hui, alors la date de création (de la copie) sera postérieure à (après) la date de modification !
C'est-y pas intuitif Windows ?
On voit là typiquement quelque chose qui a été pensé par un développeur qui s'intéresse essentiellement au côté technique : En effet, la copie a été créée après l'original et après même que l'original ait été enregistré - logique.
Mais voilà, ce n'est pas à ça que s'intéresse l'utilisateur, il veut vouloir vérifier qu'il travaille bien sur le fichier qu'il a créé à telle date, que le fichier ait été copié depuis et qu'il travaille sur une copie ou pas.

avatar gequil | 

Bravo signal. Cela confirme que c’est la messagerie la plus sécurisée.

avatar Dev | 

Attaquer un virus par un virus, la solution au coronavirus \(>-<)/ l’idée de génie

avatar cyrcle | 

Super Signal !

CONNEXION UTILISATEUR