211service.com
Les flics voient un problème de cryptage. Les fabricants de logiciels espions voient une opportunité.
L'administration Trump pousse à nouveau pour l'accès aux données cryptées. Mais certaines sociétés de renseignement vendent un itinéraire plus sournois autour de la protection. 10 décembre 2019
tour de téléphonie cellulaire Unsplash
- Le Sénat américain est prêt pour une nouvelle audience sur le cryptage
- La grande question : existe-t-il une nouvelle législation imposant des portes dérobées de chiffrement ?
- Rencontrez la société israélienne vendant un outil pour pousser les gens à quitter les services cryptés
Supposons que vous soyez un flic qui souhaite écouter un appel téléphonique crypté, le genre d'appel que des milliards de personnes passent tout le temps sur WhatsApp. Les écoutes téléphoniques à l'ancienne ne fonctionnent pas, car la technologie qui sous-tend le cryptage garantit que vous n'obtiendrez rien. Vous pouvez essayer de pirater le téléphone d'une cible et d'écouter, mais c'est souvent une proposition difficile et coûteuse. Ou vous pouvez exiger légalement que l'entreprise derrière le service permette aux forces de l'ordre de voir les données cryptées, mais cela peut signifier une bataille juridique longue et coûteuse.
Cette longue guerre entre les forces de l'ordre et l'industrie technologique se poursuivra lorsque le Sénat américain ouvrira une audition sur le cryptage des données mardi matin.
Le Comité judiciaire du Sénat, présidé par le républicain Lindsey Graham, tiendra l'audience, qui traitera de la technologie qui protège tout, des communications WhatsApp aux données sur votre iPhone. Les responsables de la confidentialité d'Apple et de Facebook seront parmi ceux qui témoigneront aux côtés de l'un des critiques les plus virulents du gouvernement américain en matière de cryptage, le procureur du district de Manhattan, Cy Vance. L'administration Trump a régulièrement critiqué l'utilisation de la cryptographie et, en juillet, le procureur général William Barr a appelé à un accès légal et à des portes dérobées de cryptage qui permettraient aux fonctionnaires de voir les données privées cryptées.
Les opposants affirment que cela affaiblit la sécurité et la confidentialité d'Internet dans tous les domaines, mais les deux partis au Congrès ont fait pression pour étendre l'accès aux données cryptées. Il y a plusieurs années, la vice-présidente du comité, la démocrate Dianne Feinstein, a promu un projet de loi controversé pour rendre obligatoire l'accès du gouvernement . Ce projet de loi n'a abouti à rien, mais la plus grande question menant à l'audience de mardi est de savoir si un nouveau projet de loi bipartisan verra le jour et, dans l'affirmative, s'il pourrait bénéficier du soutien de la Maison Blanche.
Mais alors que cette audience est le dernier chapitre du conflit qui dure depuis des décennies entre le gouvernement et l'industrie technologique, certaines entreprises utilisent différentes tactiques pour accéder aux données cryptées et les vendent aux forces de l'ordre et aux agences de renseignement.
Différentes tactiques
Il y a dix ans, le cryptage - qui déploie des mathématiques pour rendre les données illisibles sauf par le destinataire prévu - était rare pour les utilisateurs ordinaires. Aujourd'hui, il protège la navigation sur le Web, les SMS et les appels téléphoniques de milliards de personnes dans le monde. Cette protection s'applique également aux politiciens démocratiquement élus et aux militants des droits de l'homme, mais également aux terroristes et aux espions, ce qui a longtemps poussé les gouvernements à tenter de percer le cryptage par des moyens à la fois juridiques et techniques.
J'ai récemment rencontré Ithai Kenan, vice-président d'une société de renseignement israélienne appelée Picsix, lors de la conférence sur la sécurité Milipol à Paris. Composée de vétérans du renseignement israélien, Picsix est une entreprise vieille de dix ans qui se spécialise dans l'interception de données comme moyen de résoudre le problème du cryptage. (Son nom est un clin d'œil au football américain et se reflète dans le slogan de l'entreprise : L'interception parfaite.)

Profil de l'entreprise Picsix distribué aux clients potentiels.
Kenan vendait le tout dernier produit de la société, un outil d'interception et de manipulation de données connu sous le nom de P6-FI5. L'appareil fonctionne sur l'interception cellulaire GSM, 3G et 4G, ce qui signifie qu'il peut intercepter et contrôler à la fois les appels téléphoniques et les données, et peut être miniaturisé pour être transporté dans des sacs à dos ou des véhicules.
L'outil de Picsix crée une fausse tour cellulaire qui peut tromper le téléphone d'une cible en lui transmettant des données. L'appareil ne peut pas lire les données cryptées, mais essaie à la place une tactique différente pour obtenir des informations privées : rendre les applications cryptées glitchy ou même totalement inutilisables. C'est un moyen subtil mais puissant d'éloigner une cible frustrée d'une application privée et de la diriger vers un service non crypté qui peut facilement être intercepté et écouté. Le cryptage lui-même n'est jamais rompu, il est simplement rendu inutile.
Nous pouvons manipuler les données de manière très sélective, a déclaré Kenan. Nous pouvons le faire de manière très sélective afin que vous n'ayez pas l'impression d'être manipulé. Nous ne bloquerons pas complètement WhatsApp. Au lieu de cela, nous vous laisserons passer un appel WhatsApp, et 10 secondes plus tard, nous le laisserons tomber. Peut-être que nous vous laisserons passer un autre appel, et dans 20 secondes, nous l'abandonnerons. Après votre troisième appel raté, croyez-moi, vous passerez un appel régulier et nous l'intercepterons. C'est un moyen intelligent et rentable d'intercepter.

Les supports marketing Picsix 2019.
La mise en forme du trafic pour canaliser les données vers un terrain plus avantageux est un tactique de renseignement éprouvée et fiable visant à manipuler la cible dans un endroit où il est plus facile d'attaquer. Cela n'atteint pas les mêmes objectifs que de compromettre le téléphone d'une victime lui-même, mais cela peut être tout aussi efficace et potentiellement encore plus persistant. Un cheval de Troie d'une entreprise comme NSO Group pourrait vous donner un accès complet au téléphone d'une cible pour des millions de dollars , mais il s'appuie sur une vulnérabilité du code exécuté sur l'appareil : WhatsApp pourrait publier demain une mise à jour de sécurité qui rendrait l'exploit inutile et l'argent gaspillé.
Picsix affirme que même si son outil n'aura pas accès aux données cryptées, son utilité ne sera pas non plus anéantie par une seule mise à jour.
C'est pourquoi nous aimons la manipulation des données, a déclaré Kenan.
La tactique a également la capacité de fonctionner sur une myriade d'appareils, car elle cible les données plutôt que le matériel. Un Samsung Galaxy S10 et un iPhone 11 sont deux téléphones extrêmement différents : chaque exploit doit être adapté à cette cible spécifique.
En raison du prix élevé des chevaux de Troie, aucun fabricant ne fabrique de chevaux de Troie et ne prend en charge tous les différents appareils et fabricants, a déclaré Kenan. Vous pouvez avoir un logiciel pour Android mais pas pour iOS. Ne parlons même pas de tous les appareils funky que vous pouvez trouver en Chine et en Inde.
Cela dit, la technologie de Picsix peut également rediriger les données cibles et injecter des logiciels malveillants sur un téléphone qui utilise sa fausse tour cellulaire. À partir de ce moment, ces chevaux de Troie de plusieurs millions de dollars peuvent potentiellement être utilisés.

L'interception et la manipulation pourraient ne pas suffire, donc le P6-FI5 de Picsix fonctionne également comme une plate-forme logicielle d'intrusion.
La plus grande bataille
Les gouvernements du monde entier utilisent depuis des années les outils créés par des entreprises telles que NSO Group et Picsix. Il existe toute une industrie du renseignement hautement compétente et lucrative dédiée à cette tâche.
Mais de nombreux hauts responsables à Washington, DC, ne veulent pas avoir à s'appuyer sur ces outils pour accéder aux données. Plus tôt cette année, lors d'une conférence sur la sécurité à New York, le procureur général Barr a appelé à des portes dérobées vers les données cryptées, et le procureur américain Richard P. Donoghue a pointé du doigt les géants américains de la technologie.
Ces entreprises font du marketing - elles nient qu'elles font du marketing, mais elles font du marketing - qu'elles refusent l'accès aux forces de l'ordre, a déclaré Donoghue. Ils devraient être tenus responsables.
Pendant des années, les cryptographes ont averti contre les portes dérobées de cryptage comme une solution qui compromettra les avantages de sécurité d'un cryptage fort. On ne sait pas ce qui se passera au Sénat américain mardi, mais vous pouvez vous attendre à un débat en va-et-vient qui ressemble beaucoup aux soi-disant guerres cryptographiques des années passées.