C’était la question à 1 million après que le FBI a abandonné la procédure contre Apple affirmant qu’une « tierce partie » l’avait aidé à accéder aux données souhaitées : comment ? D’autant que les iPhone sont réputés être parmi les smartphones les plus sécurisés du marché.
Plusieurs médias lancés sur la piste de ce chevalier blanc avaient remonté la piste de la société israélienne Cellebrite. Celle-ci ayant opportunément signé un contrat avec le FBI le jour de l’abandon des poursuites.
Fausse route. Selon des sources proches du dossier, le FBI aurait fait appel à des hackers professionnels (et donc rémunérés). Ces derniers ont trouvé et utilisé une faille dans le logiciel du téléphone pour accéder à son contenu.
Avec ces informations, ils ont pu créer une pièce matériel permettant aux autorités de cracker le code d’identification personnel à 4 chiffres de l’iPhone, sans déclencher la fonction de sécurité à même d’effacer définitivement toutes les données contenues dans l’appareil. Cette suppression se produit après 10 tentatives infructueuses pour percer le code du téléphone.
Ces hackers professionnels se spécialisent dans la recherche de vulnérabilités logicielles qu’ils revendent ensuite aux autorités ou entreprises. Pour leur trouvaille, ces hackers ont été rémunérés sur la base d’un montant forfaitaire unique, non dévoilé. Contrairement aux « White hats » qui révèlent les failles aux entreprises concernées pour qu’elles les corrigent, les Grey hats, plus controversés, aident parfois les autorités à surveiller leurs propres citoyens ou ne préviennent pas l’entreprise lorsqu’une faille a été découverte. Au moins l’un de ceux ayant aidé le FBI pourrait faire partie de cette catégorie précise le Washington Post.
Apple semble donc bien payer sa politique de non rétribution des hackers découvrant des failles zero days. Comme l’avait souligné Le Monde, « Depuis quelques années, les grands éditeurs et services en ligne distribuent des récompenses importantes à ces ‘hackeurs éthiques’, directement ou par l’intermédiaire de sous-traitants spécialisés dans ce type de transactions. […] À lui seul, Google a dépensé en 2015 plus de 2 millions de dollars pour acheter des failles découvertes dans ses logiciels ».
Apple est la seule grande société qui refuse tout marchandage concernant la sécurité de ses téléphones. La firme se contente d’un remerciement et d’un nom accroché sur un obscur tableau d’honneur. Une politique qui a sans doute mené ces hackers « éthiques » directement dans les bureaux du FBI.
Déchiffrer le code à 4 chiffres n’a pas été la partie la plus difficile pour le FBI. Tout l’enjeu était de contourner la sécurité du téléphone sans activer la fonction de sécurité au bout de 10 essais.
C’est une première victoire pour le FBI : Apple refusait, et refuse encore, d’aider les autorités à accéder aux données chiffrées d’un iPhone. Pour la firme, cela affaiblirait la sécurité de ses téléphones et porterait potentiellement atteinte à la vie privée de millions d’utilisateurs. D’autant qu’une fois « la boite de pandore » ouverte, les agences fédérales pourraient vouloir utiliser ce pouvoir sur d’autres appareils.
Le FBI a d’ailleurs été pris en flagrant délit de mensonge en assurant que la demande formulée à Apple ne concernait qu’un seul iPhone. Il a depuis été démontré que le Bureau d’investigation demandait l’aide d’Apple (et de Google) dans plus de 60 autres affaires, n’ayant rien à voir avec le terrorisme.
Pour le FBI, il est nécessaire que les autorités poursuivent leurs efforts pour contraindre Apple et l’industrie à coopérer avec les forces de l’ordre lorsqu’elles le requièrent. D’autant que selon le directeur du FBI, James Comey, la méthode utilisée par les hackers ne fonctionne pas sur les iPhone plus récents d’Apple (du 5S au 6 SE).
Apple a d’ores et déjà annoncé qu’elle ne poursuivrait pas le FBI pour connaitre la méthode employée, bien que nombre d’experts en sécurité demandent au gouvernement de le faire pour permettre à Cupertino de corriger cette faille. Le FBI s’est quant à lui montré plus prolixe avec deux sénateurs US préparant une loi limitant le chiffrement sur les produits vendus au grand public.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
ça veut dire que si on choppe un iphone de quelqu’un, on peut lui supprimer ses données en seulement 10 tentatives ? Je comprends l’intérêt de cette sécurité, mais du coup elle fait ressortir un autre problème, celui du défaçage entre potes “just for fun” non ?
Alors, il ne s’agit pas du code pour déverrouiller l’écran par exemple, mais du code de chiffrement des données qu’il faut créer dans l’interface iTunes. Tout le monde ne pense pas à le faire donc pas vraiment de risque qu’un ami supprime l’intégralité de vos données “just for fun” 🙂
faut vraiment avoir un pet au casque pour laisser un “pote” son smart phone.
même verrouillé!
Merci pour l’article. C’est le genre de travail qu’on aime lire et qui nous font garder espoir dans le JDG.
Hacker vaillant rien d’impossible.
Merci Elodie !
Toujours un bon niveau rédactionnel 🙂
Sinon, c’est ce que je disais il y a peu : je suis étonné que le FBI n’ai pas déjà recruté une team de hackers en interne !