Cellebrite va maintenant déverrouiller des Mac
Si le FBI et William Barr, le ministre américain de la Justice, cherchent à accéder aux contenus d'iPhone qu'Apple se refuse toujours à déverrouiller, ils peuvent toujours s'adresser aux sociétés qui s'en sont fait la spécialité. C'est le cas de Cellebrite, que l'on a soupçonné un temps d'être à l'origine du déverrouillage de l'iPhone du tueur de San Bernardino, en 2016.
L'entreprise israélienne étoffe ses services avec l'acquisition, pour 33 millions de dollars, de BlackBag Technologies. Cette société détenue par le groupe japonais Sun Corp est en quelque sorte l'équivalent de Cellebrite pour les ordinateurs traditionnels. Son outil MacQuisition se présente ainsi comme la « première et unique solution de création d'images physiques pour les Mac équipés de la puce T2 ».

Ce logiciel est par exemple en mesure de collecter des courriels, des conversations, des contacts, les rendez-vous de Calendrier, toutes sortes de documents. BlackBag annonce le support de 185 modèles de Mac ainsi que des disques Fusion Drive.
Après les smartphones, Cellebrite ajoute donc une nouvelle corde à son arc et peut se présenter comme une sorte de « guichet unique » pour les agences de sécurité, la police ou la justice. Sur le front des appareils mobiles, l'entreprise a annoncé en décembre dernier son intention d'utiliser la faille Checkm8 pour déverrouiller encore plus d'iPhone.
par curiosité j’aimerais bien savoir s’il peuvent passer au travers d’une secu au maximum sur un mac equipé de T2 ? (genre, blocage sur tout autre OS, refus de démarrer sur un support externe, filevault et pass firmware.
ils peuvent tout faire normalement. leurs failles ne sont pas rendues publiques et Apple les connait pas, pour les fermer. pour ça que Apple a remis le système de primes pour ceux qui trouveront des failles dans leurs systèmes. ils espèrent maintenant que quelqu'un d'autre trouve la même faille que utilisent ces sociétés. n'ont pas d'autres moyens.
@marenostrum
ok, mais il en faut une tripotée de failles, du hardware d ela T2 à la cascade de cryptages. ca me semble difficile.
(par contre vu que tout le monde n’active pas tout par defaut evidement…)
si ces gars ont la machine dans leur main, c'est fini la protection. ils changent des pièces, font des modification hardware, etc. par contre en distance ils ne peuvent rien faire, c'est plus complexe l'affaire.
@marenostrum
Il faut voir si ils savent le faire car la T2 est considéré comme incraquable par des spécialistes
@marenostrum
Si tu changes les pièces, tu ne sais pas utiliser le Mac
@marenostrum
En tout cas le FBI en aurait bien besoin pour l’affaire Pensacola !
@frankm
Ça ne servirait à rien si ils sont sur iOS 13 car Cellebrite ne sait rien faire à partir de cette version
Je me demande comment ils font pour aller aussi vite.
En tout cas, chapeau pour la couche technique de leur solution. On ne sait pas comment tout cela va finir ..
ça montre que Apple ne sait plus coder correctement. ils embauchent des incapables depuis un certain temps. les vieux chefs ne mettent plus les mains dedans, gagnant des millions facilement ils sont devenus bourgeois. d'autres activités les occupent.
le trop d'argent crée la corruption disait Napoleon.
Tu peux étendre ta diatribe à tous les constructeurs car ces gens là ne s’arrêtent surement pas à l’univers de la pomme. Si dans la foulée tu peux aller leur donner quelques leçons sur la manière d’écrire soft ........
si je l'ai devant moi Cook, et il n'arrive pas connecter mon iPad avec un disque externe relié à mon iMac, je lui met une baffe direct. tellement ça m'énerve ne pas les connecter. mais pour le truc plus haut je suis conscient qu'il peut rien faire. juste son bla bla officiel de marchand qu'il dispose le système le plus sécurisé au monde.
@marenostrum
Je veux bien ouvrir un fan club à ta gloire
@Olivier S
En attendant, Apple emmerde les clients avec leur T2 et autre blocage qui empêche les réparations pour eviter ce que cette boîte arrivera toujours à contourner!!
La puce T2 n’est qu’un dérivé des Ax qui tourne sur les iPhone. Donc les mêmes technique doivent fonctionner.
@0MiguelAnge0
Il n’y a aucune preuve qu’ils y arrivent d’autant que des chercheurs en sécurité la trouve incraquable et empêche les accessoires externes de se connecter,...
ils ont un webinar sur le sujet : https://offers.blackbagtech.com/t2chip (qu'ils y arrivent), je me suis inscrit par curiosité mais j'ai pas de réponse encore.
@huexley
Ok
La version d'évaluation de leur logiciel permet de le vérifier. Ne dites pas n'importe quoi juste pour vous rassurer!
De toute façon si on a un accès physique à un ordinateur ou un smartphone, c’est tout simplement fichu.
N’importe quel expert en sécurité vous dira la même chose.
@kitetrip
Pour l’instant on ne sait pas si ils y arrivent donc attendons 🤷♂️
Très simple de vérifier... allez sur le site de MacQuisition, demandez à tester la version d'évaluation et vous recevez un mail avec le lien de téléchargement.
J'ai testé sur un MacBookPro avec puce T2 (réglage de sécurité au max), on obtient bien (après une nuit complète de travail du logiciel) une image disque non chiffrée du SSD du Mac 🥴
(La version d'évaluation permet de visualiser les fichiers, mais on ne peut pas enregistrer l'image disque)
@SyMich
Regarde les tests de chercheurs en sécurité dik y a quoi ? 1 an, ils n’ont pas réussi à cracker la T2... maintenant il faut peut-être mettre firevault en plus
Et alors? Qu'ils n'aient pas réussi il y a un an c'est une chose, mais moi je crois ce que je vois et ça ne date pas d'il y a un an, mais de ce matin après avoir fait tourner le logiciel MacQuisition toute la nuit (toutes options de sécurité au maximum)!
Il est clair qu'ils ont trouvé un moyen de craquer la puce T2...
Apple va certainement décortiquer leur outil pour combler la faille, mais pour l'instant la puce T2 est vaincue.
@SyMich
Alors attendons de voir tout ça alors. Maintenant je suppose qu’avec une MAJ ce sera comblé car sans doute ils n’ont pas craqué la T2 mais on trouvait une faille autre part 🤔 qui sait 🤷♂️
@SyMich
https://www.macg.co/mac/2019/02/la-puce-t2-decortiquee-par-des-specialistes-de-la-securite-105378
@SyMich
On parle aussi d’un boîtier si je ne me trompe donc attendons de voir car je ne sais pas si la T2 gère ce qu’il y a installer directement sur le Mac
Non pas un boîtier! Juste un autre Mac et un câble thunderbolt...
Inutile d'attendre de voir, il suffit de demander la version d'évaluation de leur logiciel et de faire l'essai (ce que j'ai fait la nuit dernière).
La puce T2 contrôle l'accès au Mac et chiffre le contenu du SSD. Ils ont clairement trouvé une faille car non seulement on accède au contenu du Mac "protégé" mais en plus on peut voir en clair le contenu de ses fichiers.
@SyMich
Et si tu fais ça Bien que le lecteur SSD des ordinateurs dotés de la puce de sécurité T2 d’Apple soit chiffré, veillez à activer FileVault afin que votre Mac exige un mot de passe pour déchiffrer vos données. ?
@SyMich
Dis-moi quoi si tu y arrives même avec FileVault
Mais bien sûr que FileVault est activé ! J'ai voulu tester ce logiciel, vous imaginez bien que j'ai mis toutes les options de sécurité au maximum!
Mais faites le test vous-meme! Il suffit de demander la version d'évaluation et de disposer d'un Mac avec puce T2 et d'un autre Mac sur lequel on fait tourner le logiciel MacQuisition.
@SyMich
Donc votre Mac était éteint,...? Alors Apple va faire une MAJ normalement pour corriger cela ;) la sécurité 0 n’existe pas maintenant elle peut devenir plus robuste :)
J'imagine qu'Apple travaille déjà à comprendre comment ils font et quelle faille ils ont trouvé pour pouvoir la corriger.
J'espère simplement que c'est quelque chose qui peut être corrigé par une mise à jour logiciel, et pas quelque chose comme la faille checkmate des iPhones et iPad qui nécessiterait de remplacer la puce elle-même.
@SyMich
Je l’espère aussi 😕 même si ce sont les ordinateurs les plus sécurisé c’est quand même chiant d’avoir une telle faille... même si on se prend la tête, je suis content de vous parler, même si par moment vous devez me détester et inversement.
@SyMich
« Mais faites le test vous-meme! Il suffit de demander la version d'évaluation et de disposer d'un Mac avec puce T2 et d'un autre Mac sur lequel on fait tourner le logiciel MacQuisition. »
Bien bien bien !
Alors maintenant y’a plus qu’à craquer MacQuisition pour avoir la version complète sans payer 😋🤗
Dans quel état est le Mac "attaqué" ? (Celui avec la puce T2)
Avec les sécurités au max il ne peut pas être en mode Target, donc il est booté normalement ? Sur l'écran de login FileVault ? Session ouverte ou verrouillée ?
Je ne sais pas dans quel état se trouve la liaison Thunderbolt dans le 1er cas, dans la deuxième il devrait être en mode réseau IP point à point mais c'est à vérifier (jamais utilisé ce mode).
Le Mac "attaqué" a toutes ses sécurités réglées au Max (Secureboot en réglage par défaut donc au Max de ce que la puce T2 peut bloquer et FileVault actif). Il est juste mis sous tension et arrêté à la 1ère demande de mot de passe.
Ensuite on relie le câble thunderbolt entre les 2 macs et le logiciel MacQuisition se charge de tout.
Impressionnant ! Je serai curieux de connaître la méthode exploitée, car à ce stade du boot le volume interne n'est pas censé être visible via Thunderbolt.
Je ne pense pas qu'ils dévoilent la faille qu'ils ont probablement trouvée et qu'ils exploitent... ils ont vendu ça 33 millions à Cellebrite.
Non bien sûr, ils ne vont pas mettre leur secrets professionnels sur la place publique :-)
C'est de la pure curiosité technique de ma part.
Pour parvenir à ce résultat, je suppose qu'il doit y avoir une faille dans la protection DMA du port Thunderbolt. Il y a déjà eu des articles à ce sujet il y a quelques années. Une fois l'accès à la mémoire obtenu, je suppose (à nouveau) l'exploitation d'une seconde faille, au sein de la puce T2 cette fois.
Si je ne trompe pas, la première doit pouvoir être patchée.
Probablement...
En essayant de regarder un peu plus comment leur utilitaire peut fonctionner, j'ai noté que tout ne se passe pas en local. Il y a un volume de données échangées avec les serveurs de blackBag Techno extrêmement important durant tout le processus d'analyse et déchiffrement des données.
Soit ça nécessite des puissances de calcul importantes, soit le "moteur" de décodage est conservé à l'abri chez eux pour éviter que d'autres l'utilisent ou s'en inspire.
Non mais vous affolez pas, Apple a bien dit que c'était hyper sécure de la mort et que c'est pour ça qu'ils ont mis cette puce t2... (et aucune autre raison que nous protéger)
Un iPhone c'est inviolable, un mac aussi... C'est des mythos les types....
@debione
Quand ils ont dit ça ? Merci de ne pas surenchérir
@Depret Lucas
Ils l’ont dit un jour, si si.
Ah merde, fallait pas le dire 😬💨
@Sindanárië
Preuve ?
@Depret Lucas
Bah regarde sur Google, y’a la preuve sur Google.
@debione cherche pour lui, j’ai pas le temps.
Bon je vous laisse, j’ai un truc sur le feu 💨😬
@Sindanárië
Parce que dire ça alors que la sécurité infaillible n’existe pas...😅 vite avant que ça fume ^^
Ce qui est sur votre iPhone reste sur votre iPhone, sauf que non en fait, ça se craque, c’est pas vraiment secure, ça envoie des paquets de donnée à Apple, qui peut en envoyer à des tiers parties, qui laisse des applis envoyer n’importe quoi... puce t2 ou pas...
Ce qui est sur votre iPhone ne reste pas sur votre iPhone, sauf si vous ne l’allumez Pas, mais là wiko arrive à faire la même chose...
Oula tu n’as pas réfléchit.... depuis quand Apple donne les données à des tiers ? C’est le principe de ne pas les données, ils ne vendent rien et les données qu’ils reçoivent de nous sont anonyme. On a le choix sur ce qu’on partage,... on voit que tu n’as pas d’iPhone ou autres produits Apple entre les mains.
1. Lis une fois les conditions d’utilisation
2. Tu as déjà oublié l’histoire de Siri?
3. Pour rappel Apple a fait un tout petit effort pour les appli enfants ( donc rien pour le reste)
4. J’ai juste iPad/mbp/iMac et j’utilise des produits Apple depuis plus de 20 ans
5. Dans le pas réfléchi, tu te pose un peu la, ou plutôt dans la désinformation ou en antenne relais du marketing Apple, je te laisse le choix.
@debione
La différence, c'est que Apple ne transmet pas les données à des fins publicitaires. Google le fait sans broncher en le disant bien sûr.
Pages