Cellebrite va maintenant déverrouiller des Mac

Mickaël Bazoge |

Si le FBI et William Barr, le ministre américain de la Justice, cherchent à accéder aux contenus d'iPhone qu'Apple se refuse toujours à déverrouiller, ils peuvent toujours s'adresser aux sociétés qui s'en sont fait la spécialité. C'est le cas de Cellebrite, que l'on a soupçonné un temps d'être à l'origine du déverrouillage de l'iPhone du tueur de San Bernardino, en 2016.

L'entreprise israélienne étoffe ses services avec l'acquisition, pour 33 millions de dollars, de BlackBag Technologies. Cette société détenue par le groupe japonais Sun Corp est en quelque sorte l'équivalent de Cellebrite pour les ordinateurs traditionnels. Son outil MacQuisition se présente ainsi comme la « première et unique solution de création d'images physiques pour les Mac équipés de la puce T2 ».

Le logiciel MacQuisition de BlackBag Technologies.

Ce logiciel est par exemple en mesure de collecter des courriels, des conversations, des contacts, les rendez-vous de Calendrier, toutes sortes de documents. BlackBag annonce le support de 185 modèles de Mac ainsi que des disques Fusion Drive.

Après les smartphones, Cellebrite ajoute donc une nouvelle corde à son arc et peut se présenter comme une sorte de « guichet unique » pour les agences de sécurité, la police ou la justice. Sur le front des appareils mobiles, l'entreprise a annoncé en décembre dernier son intention d'utiliser la faille Checkm8 pour déverrouiller encore plus d'iPhone.


Source
avatar raoolito | 

par curiosité j’aimerais bien savoir s’il peuvent passer au travers d’une secu au maximum sur un mac equipé de T2 ? (genre, blocage sur tout autre OS, refus de démarrer sur un support externe, filevault et pass firmware.

avatar marenostrum | 

ils peuvent tout faire normalement. leurs failles ne sont pas rendues publiques et Apple les connait pas, pour les fermer. pour ça que Apple a remis le système de primes pour ceux qui trouveront des failles dans leurs systèmes. ils espèrent maintenant que quelqu'un d'autre trouve la même faille que utilisent ces sociétés. n'ont pas d'autres moyens.

avatar raoolito | 

@marenostrum

ok, mais il en faut une tripotée de failles, du hardware d ela T2 à la cascade de cryptages. ca me semble difficile.
(par contre vu que tout le monde n’active pas tout par defaut evidement…)

avatar marenostrum | 

si ces gars ont la machine dans leur main, c'est fini la protection. ils changent des pièces, font des modification hardware, etc. par contre en distance ils ne peuvent rien faire, c'est plus complexe l'affaire.

avatar Krysten2001 | 

@marenostrum

Il faut voir si ils savent le faire car la T2 est considéré comme incraquable par des spécialistes

avatar Krysten2001 | 

@marenostrum

Si tu changes les pièces, tu ne sais pas utiliser le Mac

avatar frankm | 

@marenostrum

En tout cas le FBI en aurait bien besoin pour l’affaire Pensacola !

avatar Krysten2001 | 

@frankm

Ça ne servirait à rien si ils sont sur iOS 13 car Cellebrite ne sait rien faire à partir de cette version

avatar Danny Wilde | 

Je me demande comment ils font pour aller aussi vite.
En tout cas, chapeau pour la couche technique de leur solution. On ne sait pas comment tout cela va finir ..

avatar marenostrum | 

ça montre que Apple ne sait plus coder correctement. ils embauchent des incapables depuis un certain temps. les vieux chefs ne mettent plus les mains dedans, gagnant des millions facilement ils sont devenus bourgeois. d'autres activités les occupent.

le trop d'argent crée la corruption disait Napoleon.

avatar codeX | 

Tu peux étendre ta diatribe à tous les constructeurs car ces gens là ne s’arrêtent surement pas à l’univers de la pomme. Si dans la foulée tu peux aller leur donner quelques leçons sur la manière d’écrire soft ........

avatar marenostrum | 

si je l'ai devant moi Cook, et il n'arrive pas connecter mon iPad avec un disque externe relié à mon iMac, je lui met une baffe direct. tellement ça m'énerve ne pas les connecter. mais pour le truc plus haut je suis conscient qu'il peut rien faire. juste son bla bla officiel de marchand qu'il dispose le système le plus sécurisé au monde.

avatar KimoMac | 

@marenostrum

Je veux bien ouvrir un fan club à ta gloire

avatar 0MiguelAnge0 | 

@Olivier S

En attendant, Apple emmerde les clients avec leur T2 et autre blocage qui empêche les réparations pour eviter ce que cette boîte arrivera toujours à contourner!!

La puce T2 n’est qu’un dérivé des Ax qui tourne sur les iPhone. Donc les mêmes technique doivent fonctionner.

avatar Krysten2001 | 

@0MiguelAnge0

Il n’y a aucune preuve qu’ils y arrivent d’autant que des chercheurs en sécurité la trouve incraquable et empêche les accessoires externes de se connecter,...

avatar huexley | 

ils ont un webinar sur le sujet : https://offers.blackbagtech.com/t2chip (qu'ils y arrivent), je me suis inscrit par curiosité mais j'ai pas de réponse encore.

avatar Krysten2001 | 

@huexley

Ok

avatar SyMich | 

La version d'évaluation de leur logiciel permet de le vérifier. Ne dites pas n'importe quoi juste pour vous rassurer!

avatar kitetrip | 

De toute façon si on a un accès physique à un ordinateur ou un smartphone, c’est tout simplement fichu.
N’importe quel expert en sécurité vous dira la même chose.

avatar Krysten2001 | 

@kitetrip

Pour l’instant on ne sait pas si ils y arrivent donc attendons 🤷‍♂️

avatar SyMich | 

Très simple de vérifier... allez sur le site de MacQuisition, demandez à tester la version d'évaluation et vous recevez un mail avec le lien de téléchargement.

J'ai testé sur un MacBookPro avec puce T2 (réglage de sécurité au max), on obtient bien (après une nuit complète de travail du logiciel) une image disque non chiffrée du SSD du Mac 🥴
(La version d'évaluation permet de visualiser les fichiers, mais on ne peut pas enregistrer l'image disque)

avatar Krysten2001 | 

@SyMich

Regarde les tests de chercheurs en sécurité dik y a quoi ? 1 an, ils n’ont pas réussi à cracker la T2... maintenant il faut peut-être mettre firevault en plus

avatar SyMich | 

Et alors? Qu'ils n'aient pas réussi il y a un an c'est une chose, mais moi je crois ce que je vois et ça ne date pas d'il y a un an, mais de ce matin après avoir fait tourner le logiciel MacQuisition toute la nuit (toutes options de sécurité au maximum)!
Il est clair qu'ils ont trouvé un moyen de craquer la puce T2...
Apple va certainement décortiquer leur outil pour combler la faille, mais pour l'instant la puce T2 est vaincue.

avatar Krysten2001 | 

@SyMich

Alors attendons de voir tout ça alors. Maintenant je suppose qu’avec une MAJ ce sera comblé car sans doute ils n’ont pas craqué la T2 mais on trouvait une faille autre part 🤔 qui sait 🤷‍♂️

avatar Krysten2001 | 

@SyMich

On parle aussi d’un boîtier si je ne me trompe donc attendons de voir car je ne sais pas si la T2 gère ce qu’il y a installer directement sur le Mac

avatar SyMich | 

Non pas un boîtier! Juste un autre Mac et un câble thunderbolt...
Inutile d'attendre de voir, il suffit de demander la version d'évaluation de leur logiciel et de faire l'essai (ce que j'ai fait la nuit dernière).
La puce T2 contrôle l'accès au Mac et chiffre le contenu du SSD. Ils ont clairement trouvé une faille car non seulement on accède au contenu du Mac "protégé" mais en plus on peut voir en clair le contenu de ses fichiers.

avatar Krysten2001 | 

@SyMich

Et si tu fais ça Bien que le lecteur SSD des ordinateurs dotés de la puce de sécurité T2 d’Apple soit chiffré, veillez à activer FileVault afin que votre Mac exige un mot de passe pour déchiffrer vos données. ?

avatar Krysten2001 | 

@SyMich

Dis-moi quoi si tu y arrives même avec FileVault

avatar SyMich | 

Mais bien sûr que FileVault est activé ! J'ai voulu tester ce logiciel, vous imaginez bien que j'ai mis toutes les options de sécurité au maximum!
Mais faites le test vous-meme! Il suffit de demander la version d'évaluation et de disposer d'un Mac avec puce T2 et d'un autre Mac sur lequel on fait tourner le logiciel MacQuisition.

avatar Krysten2001 | 

@SyMich

Donc votre Mac était éteint,...? Alors Apple va faire une MAJ normalement pour corriger cela ;) la sécurité 0 n’existe pas maintenant elle peut devenir plus robuste :)

avatar SyMich | 

J'imagine qu'Apple travaille déjà à comprendre comment ils font et quelle faille ils ont trouvé pour pouvoir la corriger.
J'espère simplement que c'est quelque chose qui peut être corrigé par une mise à jour logiciel, et pas quelque chose comme la faille checkmate des iPhones et iPad qui nécessiterait de remplacer la puce elle-même.

avatar Krysten2001 | 

@SyMich

Je l’espère aussi 😕 même si ce sont les ordinateurs les plus sécurisé c’est quand même chiant d’avoir une telle faille... même si on se prend la tête, je suis content de vous parler, même si par moment vous devez me détester et inversement.

avatar Sindanárië | 

@SyMich

« Mais faites le test vous-meme! Il suffit de demander la version d'évaluation et de disposer d'un Mac avec puce T2 et d'un autre Mac sur lequel on fait tourner le logiciel MacQuisition. »

Bien bien bien !

Alors maintenant y’a plus qu’à craquer MacQuisition pour avoir la version complète sans payer 😋🤗

avatar ShugNinx | 

Dans quel état est le Mac "attaqué" ? (Celui avec la puce T2)
Avec les sécurités au max il ne peut pas être en mode Target, donc il est booté normalement ? Sur l'écran de login FileVault ? Session ouverte ou verrouillée ?
Je ne sais pas dans quel état se trouve la liaison Thunderbolt dans le 1er cas, dans la deuxième il devrait être en mode réseau IP point à point mais c'est à vérifier (jamais utilisé ce mode).

avatar SyMich | 

Le Mac "attaqué" a toutes ses sécurités réglées au Max (Secureboot en réglage par défaut donc au Max de ce que la puce T2 peut bloquer et FileVault actif). Il est juste mis sous tension et arrêté à la 1ère demande de mot de passe.
Ensuite on relie le câble thunderbolt entre les 2 macs et le logiciel MacQuisition se charge de tout.

avatar ShugNinx | 

Impressionnant ! Je serai curieux de connaître la méthode exploitée, car à ce stade du boot le volume interne n'est pas censé être visible via Thunderbolt.

avatar SyMich | 

Je ne pense pas qu'ils dévoilent la faille qu'ils ont probablement trouvée et qu'ils exploitent... ils ont vendu ça 33 millions à Cellebrite.

avatar ShugNinx | 

Non bien sûr, ils ne vont pas mettre leur secrets professionnels sur la place publique :-)
C'est de la pure curiosité technique de ma part.

Pour parvenir à ce résultat, je suppose qu'il doit y avoir une faille dans la protection DMA du port Thunderbolt. Il y a déjà eu des articles à ce sujet il y a quelques années. Une fois l'accès à la mémoire obtenu, je suppose (à nouveau) l'exploitation d'une seconde faille, au sein de la puce T2 cette fois.
Si je ne trompe pas, la première doit pouvoir être patchée.

avatar SyMich | 

Probablement...
En essayant de regarder un peu plus comment leur utilitaire peut fonctionner, j'ai noté que tout ne se passe pas en local. Il y a un volume de données échangées avec les serveurs de blackBag Techno extrêmement important durant tout le processus d'analyse et déchiffrement des données.
Soit ça nécessite des puissances de calcul importantes, soit le "moteur" de décodage est conservé à l'abri chez eux pour éviter que d'autres l'utilisent ou s'en inspire.

avatar debione | 

Non mais vous affolez pas, Apple a bien dit que c'était hyper sécure de la mort et que c'est pour ça qu'ils ont mis cette puce t2... (et aucune autre raison que nous protéger)
Un iPhone c'est inviolable, un mac aussi... C'est des mythos les types....

avatar Krysten2001 | 

@debione

Quand ils ont dit ça ? Merci de ne pas surenchérir

avatar Sindanárië | 

@Depret Lucas

Ils l’ont dit un jour, si si.

Ah merde, fallait pas le dire 😬💨

avatar Krysten2001 | 

@Sindanárië

Preuve ?

avatar Sindanárië | 

@Depret Lucas

Bah regarde sur Google, y’a la preuve sur Google.

@debione cherche pour lui, j’ai pas le temps.

Bon je vous laisse, j’ai un truc sur le feu 💨😬

avatar Krysten2001 | 

@Sindanárië

Parce que dire ça alors que la sécurité infaillible n’existe pas...😅 vite avant que ça fume ^^

avatar debione | 

Ce qui est sur votre iPhone reste sur votre iPhone, sauf que non en fait, ça se craque, c’est pas vraiment secure, ça envoie des paquets de donnée à Apple, qui peut en envoyer à des tiers parties, qui laisse des applis envoyer n’importe quoi... puce t2 ou pas...

Ce qui est sur votre iPhone ne reste pas sur votre iPhone, sauf si vous ne l’allumez Pas, mais là wiko arrive à faire la même chose...

avatar Krysten2001 | 

Oula tu n’as pas réfléchit.... depuis quand Apple donne les données à des tiers ? C’est le principe de ne pas les données, ils ne vendent rien et les données qu’ils reçoivent de nous sont anonyme. On a le choix sur ce qu’on partage,... on voit que tu n’as pas d’iPhone ou autres produits Apple entre les mains.

avatar debione | 

1. Lis une fois les conditions d’utilisation
2. Tu as déjà oublié l’histoire de Siri?
3. Pour rappel Apple a fait un tout petit effort pour les appli enfants ( donc rien pour le reste)
4. J’ai juste iPad/mbp/iMac et j’utilise des produits Apple depuis plus de 20 ans
5. Dans le pas réfléchi, tu te pose un peu la, ou plutôt dans la désinformation ou en antenne relais du marketing Apple, je te laisse le choix.

avatar victoireviclaux | 

@debione

La différence, c'est que Apple ne transmet pas les données à des fins publicitaires. Google le fait sans broncher en le disant bien sûr.

Pages

CONNEXION UTILISATEUR