Une bataille juridique menée à Moscou indique clairement que les outils d’analyse criminelle des téléphones utilisés par le FBI et le FSB tirent profit des failles de sécurité du système d’exploitation iOS 16 développé par Apple.
Article de Thomas Brewster pour Forbes US – Traduit par Lisa Deleforterie
Un différend juridique entre deux sociétés russes spécialisées dans la criminalistique a révélé une faiblesse et une possible vulnérabilité zero-day dans le système d’exploitation iOS 16 d’Apple. Le procès, intenté par Elcomsoft, une société russe fondée par le PDG Vladimir Katalov, allègue que son concurrent MKO-Systems a volé un code qui peut s’immiscer de façon profonde dans les iPhones d’Apple fonctionnant sous iOS 16 pour s’emparer des mots de passe cachés, de l’historique de localisation et de navigation, des photos et d’autres données sensibles. Pour les clients d’Elcomsoft chargés de l’application de la loi, ces outils sont incroyablement utiles pour extraire plus de données d’un iPhone déverrouillé qu’il n’est possible de le faire en examinant manuellement le téléphone et ses sauvegardes.
Inversion de structures de données
Ce type d’outil de criminalistique doit exploiter les faiblesses d’iOS, pour obtenir des données aussi sensibles. Selon l’expert en sécurité Bruce Schneier, il pourrait utiliser soit une faille non corrigée, connue sous le nom de zero-day, soit une chaîne de vulnérabilités dans iOS 16. Jake Williams, ancien collaborateur de la NSA et aujourd’hui membre du corps enseignant de la société d’analyse de cybersécurité IANS Research, estime toutefois qu’il est plus probable que les hackers aient « inversé des structures de données ou des algorithmes d’obscurcissement que personne d’autre ne possède ». On ne sait pas encore si iOS 17, sorti en septembre, est concerné. M. Katalov n’a pas souhaité s’exprimer sur la nature des vulnérabilités exploitées par son logiciel. Apple et MKO n’ont pas répondu aux demandes de commentaires.
Bien qu’Elcomsoft n’ait intenté qu’une action en justice contre MKO, la plainte allègue également que le même code volé est utilisé dans un produit de criminalistique de l’iPhone de la société concurrente Oxygen Forensics, basée aux États-Unis et fondée par deux entrepreneurs russes qui ont également participé à la création de MKO : Oleg Fedorov et Oleg Davydov (la société n’a pas répondu à une demande de commentaire).
Outils du FBI
Si les affirmations d’Elcomsoft sont exactes, le code de piratage d’iOS est désormais entre les mains des forces de l’ordre russes et américaines. Les dossiers des contrats gouvernementaux montrent que les outils d’Elcomsoft ont été utilisés par le FBI et le service des douanes et de la protection des frontières, tandis que M. Katalov a déclaré à Forbes qu’il vendait ses produits au FSB, le Service fédéral de sécurité de la fédération de Russie. Oxygen Forensics a conclu de nombreux contrats avec des agences fédérales aux États-Unis, dont le FBI, le United States Immigration and Customs Enforcement (ICE) et le Service des douanes et de la protection des frontières des États-Unis (CBP). La technologie MKO a été vendue au FSB et au ministère de l’intérieur, selon le site web de l’un de ses partenaires, qui revend le logiciel MKO.
Cela signifie qu’une myriade d’agences gouvernementales, tant aux États-Unis qu’en Russie, peuvent toutes accéder de manière approfondie à des iPhones déverrouillés fonctionnant avec le système d’exploitation, qu’ils appartiennent à un terroriste, à un criminel, à un citoyen sans papiers ou à un manifestant.
Procédures en série
Le fait que le gouvernement russe ait accès à des outils capables de briser les protections d’iOS 16 pourrait susciter des inquiétudes particulières concernant la guerre en Ukraine. « Il ne fait aucun doute que la Russie a recours à la criminalistique sur des appareils mobiles capturés en Ukraine », a déclaré M. Williams. « Les services de renseignement et de défense russes peuvent utiliser les outils acquis par les forces de l’ordre russes, ce qui inclut probablement la plupart des outils d’analyse criminelle des téléphones portables disponibles sur le marché aujourd’hui. »
Dans le procès, qui a été déposé devant un tribunal d’arbitrage de Moscou fin novembre, Elcomsoft affirme que MKO-Systems a volé son code de piratage propriétaire pour iOS et l’a inclus dans son propre produit d’analyse criminelle « presque sans modification ». Avant de porter plainte, Elcomsoft a demandé à MKO de cesser de vendre des licences pour les logiciels contenant le code et de verser une indemnité de 5 000 000 de roubles (51 200 euros). En réponse à cette demande, les avocats de MKO ont nié l’existence d’un quelconque vol de propriété intellectuelle. MKO n’a pas encore réagi à l’action en justice et n’a pas répondu à une demande de commentaire au moment de la publication.
Elcomsoft ne poursuit pas Oxygen Forensics, bien qu’elle soit nommée dans la plainte. Mais les allégations ont mis en lumière les liens de cette société avec la Russie, notamment des contrats d’Oxygen Forensics avec le FBI, l’ICE et le CBP.
Sécurité nationale
« Il est difficile de juger si Oxygen Forensics représente aujourd’hui une préoccupation directe pour la sécurité nationale sur la base de ses liens antérieurs avec la Russie. Cependant, cette évaluation semble pire aujourd’hui qu’elle ne l’était auparavant, étant donné les allégations de vol de code », a déclaré M. Williams. « Les organisations qui utilisent Oxygen Forensics devraient évaluer leur profil de risque après avoir pris connaissance des allégations contenues dans le procès. »
Ces dernières années, Oxygen Forensics a cherché à se distancer de ses origines moscovites. Elle a enregistré son entreprise en Virginie en 2013. Le cofondateur et PDG d’Oxygen à l’époque, Oleg Fedorov, a déclaré à Forbes qu’il voulait rester à l’écart des questions géopolitiques.
Depuis lors, M. Fedorov et son partenaire commercial M. Davydov ont pris leurs distances par rapport à Oxygen Forensics et à MKO, et n’occupent plus aucun rôle dans ces deux entreprises. Oxygen Forensics est désormais dirigée par Lee Reiber, un ancien enquêteur de la police de Boise. La directrice générale de MKO, qui était auparavant directrice du marketing de l’entreprise, est Gutman Olga Vasilevna.
Forbes a trouvé au moins un lien qui subsiste entre Oxygen Forensics et la Russie. L’entreprise possède une entité enregistrée à Chypre – Oxygen Forensics Limited – dont le directeur est Maksim Vialkov, un Russe qui a enregistré plusieurs sites web consacrés à la criminalistique en utilisant son numéro de téléphone russe. Maksim Vialkov était l’un des directeurs des activités américaines d’Oxygen Forensics jusqu’en février de cette année, date à laquelle il a été retiré des registres de la société.
Selon un récent rapport du Consortium international des journalistes d’investigation, Chypre est devenue une plaque tournante pour les entreprises spécialisées dans le piratage de téléphones pour le compte de gouvernements, en grande partie en raison de son manque de contrôle sur les technologies d’espionnage.
À lire aussi : TRIBUNE | Protéger nos citoyens des cybermenaces, c’est avant tout répondre aux défis de la pénurie de talents
Vous avez aimé cet article ? Likez Forbes sur Facebook
Newsletter quotidienne Forbes
Recevez chaque matin l’essentiel de l’actualité business et entrepreneuriat.
Abonnez-vous au magazine papier
et découvrez chaque trimestre :
- Des dossiers et analyses exclusifs sur des stratégies d'entreprises
- Des témoignages et interviews de stars de l'entrepreneuriat
- Nos classements de femmes et hommes d'affaires
- Notre sélection lifestyle
- Et de nombreux autres contenus inédits