Secure Enclaved depuis 2020
La société israélienne, spécialisée dans l’inforensique et l’exploitation des données des téléphones portables, se vante de déverrouiller tous les iPhone. Mais elle n’est plus en mesure de lancer des attaques par force brute sur les iPhone 12 et suivants, lancés depuis 2020.
L’équipe de GrapheneOS (une version durcie d’Android) vient de publier des captures d’écran de la mise à jour de juillet des capacités de déverrouillage des iPhone et Android par Cellebrite.
404Media avait en effet relevé qu’en avril dernier, l’éditeur israélien de solutions criminalistiques informatiques ne parvenait pas à déverrouiller les derniers iPhone d’Apple et Pixel de Google.
Sur iOS 17.1 à 17.3.1, la fiche estampillée 7.69.1 indiquait « Coming soon » pour la possibilité de déverrouiller les iPhone 12 à 14. Il était indiqué « in research » pour l’iPhone 15 sous iOS 17.x ainsi que tous les iPhone à partir du XR avec iOS 17.4.
Or, dans la mise à jour 7.69.5 de juillet, ces mentions ont été remplacées par « AFU » pour les iPhone XR à 14. L’iPhone 15 est à part avec « Available in CAS », nous y reviendrons.
Cellebrite précise qu’AFU est l’acronyme d’« After First Unlock », qu’Apple désigne également comme « Protected Until First User Authentication » (« Protection complète jusqu’à la première authentification de l’utilisateur » en français).
Ce terme désigne l’état des appareils qui ont été déverrouillés « au moins une fois » après avoir été mis sous tension. Cela « permet aux outils de collecter des informations à partir de l’appareil », à mesure que « de nombreuses données sont transférées dans un mode différent une fois que l’iPhone a été déverrouillé pour la première fois après le redémarrage » :
« En fait, l’iPhone est presque toujours dans l’état AFU. Il est peu probable que la plupart des propriétaires d’iPhone redémarrent leur téléphone pendant des jours ou des semaines. La majorité des gens n’éteignent pas leur téléphone après chaque utilisation, car cela reviendrait à le faire des dizaines, voire des centaines de fois par jour. »
Cellebrite bute sur la Secure Enclave, renforcée en 2020
« De nombreux appareils placent les clés de déchiffrement dans la mémoire. Cependant, la méthode la plus sûre consiste à stocker les clés dans une puce sécurisée, comme le matériel Secure Enclave sur les iPhone. Une puce sécurisée fait obstacle entre la clé de déchiffrement et tout logiciel ou matériel malveillant. Cela l'empêche de trouver un moyen de garantir un accès illimité à la mémoire du système. »Or, l'article d'Apple consacré à la Secure Enclave précise que les appareils commercialisés pour la première fois à partir de l’automne 2020 sont équipés d’un composant de stockage sécurisé de deuxième génération, qui ajoute des « référentiels sécurisés de compteur [...] au moyen d’un protocole chiffré et authentifié » :
« Pour accéder aux données utilisateur, la Secure Enclave jumelée doit dériver la valeur d’entropie du code à partir du code de l’utilisateur et de l’UID de la Secure Enclave. Le code de l’utilisateur ne peut pas être appris au moyen des tentatives de déverrouillage provenant d’une source autre que la Secure Enclave jumelée. Si la limite de tentatives est atteinte (par exemple 10 sur iPhone), le composant de stockage sécurisé efface complètement les données protégées par code. »
Cellebrite bute aussi sur les iPhone 15
Les tentatives de déverrouillage des iPhone 15 sont de leur côté externalisées auprès de la division « Cellebrite Advanced Services » (CAS) qui propose aux forces de l’ordre un « accès rapide et efficace à des données réputées inaccessibles » et a ses « services de déverrouillage et d’extraction avancés ». Forte de dix laboratoires dans le monde, elle repose sur l'expertise de professionnels du renseignement numérique « hautement qualifiés et certifiés, ainsi que d’experts des tribunaux », possédant une grande expérience afin d'aider à « contourner les systèmes de chiffrement les plus complexes, grâce aux méthodes de pointe issues de la R&D Cellebrite ».
Cellebrite bute enfin sur les Google Pixel 6 (et plus) et GrapheneOS
Cellebrite ne serait, par ailleurs, toujours pas en mesure d'utiliser l'attaque par force brute sur les Google Pixel 6 et supérieurs, ainsi que sur GrapheneOS (sauf s'il n'a pas été mis à jour depuis 2022), comme c'était déjà le cas en avril dernier. GrapheneOS précise en outre que, « par défaut, un appareil GrapheneOS verrouillé revient automatiquement de l'AFU à la BFU après 18 heures », et n'avoir de cesse de durcir l'accès à ses terminaux :« En février 2024, nous avons ajouté une nouvelle fonctionnalité permettant de désactiver le port USB-C au niveau matériel. En mars 2024, nous avons défini le mode par défaut à "Charge seule lorsque verrouillé, sauf avant le premier déverrouillage". En juin 2024, nous avons augmenté le niveau de sécurité par défaut à "Charge seule lorsque verrouillé", étendu notre protection USB au niveau logiciel, l'avons fusionnée avec la nouvelle fonction de protection au niveau matériel et avons étendu la protection au niveau matériel aux broches de pogo sur la tablette Pixel. Nous disposons désormais d'une protection extrêmement solide contre ces attaques basées sur l'USB. »« Dans un avenir proche », GrapheneOS prévoit de prendre en charge l'ajout d'un code PIN comme deuxième facteur de déverrouillage par empreinte digitale, afin de « permettre aux utilisateurs d'ajouter une phrase de passe combinée à un déverrouillage secondaire par code PIN et empreinte digitale pour plus de commodité ».