Mobile - Signal hacke un outil de piratage «tombé du camion»
Publié

MobileSignal hacke un outil de piratage «tombé du camion»

Moxie Marlinspike, patron de l’app de messagerie chiffrée, assure avoir trouvé des failles de sécurité dans la solution de la firme Cellebrite qui sert à extraire des données des mobiles.

La sacoche contenant le kit complet de Cellebrite est censée avoir été trouvée par terre…

La sacoche contenant le kit complet de Cellebrite est censée avoir été trouvée par terre…

signal.org

C’est l’arroseur arrosé! Moxie Marlinspike, patron de la messagerie chiffrée Signal, dit avoir découvert plusieurs failles critiques dans les produits de piratage de Cellebrite particulièrement appréciés des forces de l’ordre et des régimes autoritaires. Les logiciels UFED et Physical Analyzer de cette firme israélienne sont utilisés pour récupérer des données des smartphones de suspects. Il y a quelques mois, Cellebrite avait annoncé qu’il avait ajouté Signal aux services pris en charge par ses outils d’extraction.

«Nous avons été surpris que très peu d’attention avait été portée aux propres logiciels de sécurité de Cellebrite», a écrit le dirigeant de Signal dans un billet de blog. Il explique qu’il a réussi à hacker l’extracteur de la firme sur lequel il a pu mettre la main dans des circonstances que l’on peine à croire. Moxie Marlinspike parle en effet d'«incroyable coïncidence» lors d’une balade. Il assure avoir trouvé une sacoche par terre qui était «tombée d’un camion»… Il est plus probable que l’équipement contenant un kit complet a été acheté.

Le développeur explique qu’il est possible d’exécuter du code arbitraire sur une machine Cellebrite en raison de la présence de code obsolète (dont les derniers correctifs datent parfois de 10 ans) mal protégé. Il suffit d’intégrer un fichier spécialement formaté dans n’importe quelle app, qui serait ensuite analysée par les logiciels de la firme. L’analyse de ces outils pourrait ainsi être totalement faussée, comme le montre une démo en vidéo.

Moxie Marlinspike affirme qu’il dévoilera tous les détails des vulnérabilités si Cellebrite en fait autant pour les failles que la société exploite dans ses produits. Il dit par ailleurs avoir découvert que Physical Analyzer utilise les DLL (Dynamic Link Library, bibliothèque logicielle) du logiciel iTunes d’Apple, ce qui pourrait constituer une violation de propriété intellectuelle.

(man)

Ton opinion

11 commentaires