Le FBI a payé des hackers pour débloquer l’iPhone de San Bernardino

Sur le web

Par Elodie le

Nous savons désormais comment le FBI a réussi à contourner la sécurité de l’iPhone 5C d’un des terroristes de San Bernardino : des hackers professionnels ont trouvé et utilisé une faille du logiciel pour extraire les données du téléphone sans déclencher le mécanisme d’effacement automatique des données.

fbi_hackers_iphone_san_bernardino

C’était la question à 1 million après que le FBI a abandonné la procédure contre Apple affirmant qu’une « tierce partie » l’avait aidé à accéder aux données souhaitées : comment ? D’autant que les iPhone sont réputés être parmi les smartphones les plus sécurisés du marché.

Plusieurs médias lancés sur la piste de ce chevalier blanc avaient remonté la piste de la société israélienne Cellebrite. Celle-ci ayant opportunément signé un contrat avec le FBI le jour de l’abandon des poursuites.

Fausse route. Selon des sources proches du dossier, le FBI aurait fait appel à des hackers professionnels (et donc rémunérés). Ces derniers ont trouvé et utilisé une faille dans le logiciel du téléphone pour accéder à son contenu.

Avec ces informations, ils ont pu créer une pièce matériel permettant aux autorités de cracker le code d’identification personnel à 4 chiffres de l’iPhone, sans déclencher la fonction de sécurité à même d’effacer définitivement toutes les données contenues dans l’appareil. Cette suppression se produit après 10 tentatives infructueuses pour percer le code du téléphone.

Ces hackers professionnels se spécialisent dans la recherche de vulnérabilités logicielles qu’ils revendent ensuite aux autorités ou entreprises. Pour leur trouvaille, ces hackers ont été rémunérés sur la base d’un montant forfaitaire unique, non dévoilé. Contrairement aux « White hats » qui révèlent les failles aux entreprises concernées pour qu’elles les corrigent, les Grey hats, plus controversés, aident parfois les autorités à surveiller leurs propres citoyens ou ne préviennent pas l’entreprise lorsqu’une faille a été découverte. Au moins l’un de ceux ayant aidé le FBI pourrait faire partie de cette catégorie précise le Washington Post.

fbi_apple_déverrouille_iphone_sénateurs

Apple semble donc bien payer sa politique de non rétribution des hackers découvrant des failles zero days. Comme l’avait souligné Le Monde, « Depuis quelques années, les grands éditeurs et services en ligne distribuent des récompenses importantes à ces ‘hackeurs éthiques’, directement ou par l’intermédiaire de sous-traitants spécialisés dans ce type de transactions. […] À lui seul, Google a dépensé en 2015 plus de 2 millions de dollars pour acheter des failles découvertes dans ses logiciels ».

Apple est la seule grande société qui refuse tout marchandage concernant la sécurité de ses téléphones. La firme se contente d’un remerciement et d’un nom accroché sur un obscur tableau d’honneur. Une politique qui a sans doute mené ces hackers « éthiques » directement dans les bureaux du FBI.

Déchiffrer le code à 4 chiffres n’a pas été la partie la plus difficile pour le FBI. Tout l’enjeu était de contourner la sécurité du téléphone sans activer la fonction de sécurité au bout de 10 essais.

C’est une première victoire pour le FBI : Apple refusait, et refuse encore, d’aider les autorités à accéder aux données chiffrées d’un iPhone. Pour la firme, cela affaiblirait la sécurité de ses téléphones et porterait potentiellement atteinte à la vie privée de millions d’utilisateurs. D’autant qu’une fois « la boite de pandore » ouverte, les agences fédérales pourraient vouloir utiliser ce pouvoir sur d’autres appareils.
Le FBI a d’ailleurs été pris en flagrant délit de mensonge en assurant que la demande formulée à Apple ne concernait qu’un seul iPhone. Il a depuis été démontré que le Bureau d’investigation demandait l’aide d’Apple (et de Google) dans plus de 60 autres affaires, n’ayant rien à voir avec le terrorisme.

Pour le FBI, il est nécessaire que les autorités poursuivent leurs efforts pour contraindre Apple et l’industrie à coopérer avec les forces de l’ordre lorsqu’elles le requièrent. D’autant que selon le directeur du FBI, James Comey, la méthode utilisée par les hackers ne fonctionne pas sur les iPhone plus récents d’Apple (du 5S au 6 SE).

Apple a d’ores et déjà annoncé qu’elle ne poursuivrait pas le FBI pour connaitre la méthode employée, bien que nombre d’experts en sécurité demandent au gouvernement de le faire pour permettre à Cupertino de corriger cette faille. Le FBI s’est quant à lui montré plus prolixe avec deux sénateurs US préparant une loi limitant le chiffrement sur les produits vendus au grand public.