La Cour européenne des droits de l’homme a donné raison, mardi 13 février, à un utilisateur de Telegram. Ce dernier avait saisi la juridiction européenne pour contester une loi russe permettant aux services de sécurité du pays de demander l’accès aux clés de chiffrement utilisées par l’application de messagerie pour protéger les conversations. Anton Podchasov, qui faisait partie d’un groupe de six utilisateurs de Telegram visés par une demande du FSB, le service de sécurité intérieure russe, avait saisi la CEDH en 2019. Dans un dossier de lutte contre le terrorisme, le FSB avait enjoint l’application à lui fournir toutes les informations à sa disposition sur M. Podchasov, ainsi que les clés de chiffrement permettant de décoder les messages qu’il avait pu envoyer ou recevoir. Telegram avait refusé d’obtempérer, estimant que la loi violait les libertés fondamentales de ses utilisateurs. La messagerie avait alors été bloquée dans tout le pays – de manière assez peu efficace. La société avait quitté la Russie à la même période.

Le FSB  ces clés aux autorités sur demande. Elles sont le maillon central du système dit de « chiffrement de bout en bout », qui permet de sécuriser de manière très robuste une communication : seuls l’émetteur et le destinataire du message peuvent le lire, et même l’administrateur de l’application ne peut y accéder. Ces clés sont toutefois « générales » : une fois transmises au FSB, elles auraient pu être utilisées pour décoder les messages de M. Podchasov, mais aussi ceux de tous les autres utilisateurs de l’application et c’est ce qui a motivé la décision de la CEDH de donner raison à Telegram : la loi russe « qui permet aux autorités d’accéder, de manière généralisée et sans garde-fous suffisants, aux contenus de communications électroniques, est en contradiction avec l’essence même du droit à la vie privée ». La décision de la CEDH pourrait influencer plusieurs autres dossiers législatifs en cours. La question du chiffrement des communications est en effet au cœur de propositions avancées par quelques responsables politiques, ainsi que de certains projets de loi récents.

Google a déployé une option sur Android permettant aux utilisateurs de désactiver les connexions 2G, qui comportent des failles exploitées par les IMSI Catcher (photo). Aussi appelés « stingray »ces appareils se font passer pour une tour de téléphonie cellulaire, forçant les téléphones portables à leur portée à s’y connecter. Cela permet aux opérateurs de ces appareils d’intercepter des informations telles que l’IMSI de l’appareil (identité internationale de l’abonné mobile), les métadonnées d’appel (numéro composé et la durée), le contenu des SMS et des appels vocaux, l’utilisation des données et l’historique de navigation Web. Comme les communication interceptées sont instantanément renvoyées à la tour (attaques de type « man-in-the-middle »), la cible ne se rend compte de rien.

La plupart des vulnérabilités ont été corrigées en 4G, mais les IMSI Catcher ont un moyen de rétrograder les connexions vers la 2G, permettant d’exploiter les anciennes failles. Google a donc donné aux utilisateurs d’Android la possibilité de ne pas autoriser les connexions cellulaires 2G. Comme ce paramètre est activé par défaut, il faut le désactiver, vous pouvez aller dans « Paramètres → Réseau et Internet → SIMs → Autoriser 2G ». Selon le fabricant de votre appareil et le skin Android utilisé, le chemin d’accès à ce paramètre peut être différent. Ce paramètre n’est disponible que sur Android 12 pour le moment et sur les appareils plus récents. Bien que l’arrêt des connexions 2G ne traite pas l’ensemble des problèmes de sécurité, un bon pas.  Il est important de préciser que la 2G reste active en tant que sauvegarde pour les appels d’urgence, quelle que soit la position sur laquelle la bascule est réglée, il n’y a donc aucun moyen de la désactiver complètement. Enfin, Apple n’a pas donné aux utilisateurs d’iPhone le choix de verrouiller leurs appareils sur la connectivité 4G/5G uniquement, mais maintenant que Google a franchi cette étape, il est probable que la concurrence suive.

EncroChat était un réseau crypté utilisé principalement pour le trafic de drogue et le blanchiment d’argent infiltré puis démantelé en 2020 (voir notre article). EncroChat vendait pour environ 1.000 euros des téléphones entièrement cryptés, sans caméra, microphone, GPS ou port USB, avec une option “code pin panique” permettant un effacement éclair. L’enquête avait été lancée en 2018 après la localisation à Roubaix de serveurs d’EncroChat.

L’infiltration de ce réseau a permis d’intercepter 115 millions de “conversations criminelles” d’environ 60.000 utilisateurs, ce qui a amené l’arrestation de 6.658 personnes et des condamnations prononcées se totalisant jusqu’à présent à 7.134 années de prison.  L’enquête contre les organisateurs d’Encrochat, menée par la Juridiction inter-régionale spécialisée (Jirs) de Lille, cible une dizaine de personnes. Trois personnes, interpellées en juin 2022 en Espagne, ont été mises en examen sur ce volet en France, “notamment des chefs d’association de malfaiteurs en vue de la préparation de crimes ou de délits”. Deux d’entre elles ont été placées en détention provisoire. Trois suspects ont par ailleurs été arrêtés aux Pays-Bas et un quatrième est en fuite.

Un document du Conseil européen recensant les positions des différents États membres de l’Union concernant les législations sur le chiffrement, révèle un soutien significatif parmi ces États pour des propositions visant à scanner les messages privés à la recherche de contenu illégal. Sur les 20 pays de l’UE représentés dans le document, la majorité (15) s’est déclarée favorable à une forme de scan des messages chiffrés, avec une position espagnole particulièrement radicale. Des représentants espagnols ont déclaré : « Idéalement, à notre avis, il serait souhaitable d’empêcher législativement les fournisseurs de services basés dans l’UE de mettre en œuvre un chiffrement de bout en bout ». Le chiffrement de bout en bout, utilisé par WhatsApp et Signal, est conçu pour permettre uniquement à l’expéditeur et au destinataire de voir le contenu des messages, excluant toute autre partie, y compris l’éditeur de la messagerie. Si l’Espagne et d’autres pays estiment qu’il devrait être affaibli, certains États membres, comme le Danemark et l’Irlande, se disent en faveur d’une forme de scan des messageries sans affaiblir pour autant le chiffrement de bout de bout. Mais c’est quelque chose d’impossible à réaliser, d’après les experts. Les Pays-Bas proposent de leur côté la possibilité de scanner l’appareil en amont : c’est ce qu’avait proposé Apple pour les photos pédopornographiques (voir ici), mais après la polémique suscitée par cette idée, le constructeur l’avait abandonnée.

Une équipe de recherche au Canada, a récemment mis en évidence une faille de sécurité qui permet de suivre les déplacements de certains objets — et par extension, des personnes qui les portent — à travers un mur. L’appareil, baptisé Wi-Peep, est un petit circuit imprimé muni d’une interface Wi-Fi et de quelques autres capteurs tout ce qu’il ya de plus courants (l’ensemble du matériel nécessaire coûte moins de 20 $ et un programmeur avec un minimum d’expérience peut en concevoir le logiciel).  Lorsqu’un réseau est contacté, l’appareil en question ne peut s’y connecter que s’il est authentifié — si l’utilisateur dispose du mot de passe. Dans le cas contraire, le réseau ne reste pas complètement muet. Il renvoie quelques bribes de données en retour, notamment pour indiquer que l’authentification a échoué.

C’est ce comportement, surnommé « politesse du Wi-Fi », que les chercheurs ont su exploiter. Ils ont monté leur Wi-Peep sur un petit drone qui se déplace le long de la façade d’un bâtiment en bombardant tous les points d’accès du réseau de requêtes. Comme il ne dispose pas du mot de passe, il reçoit donc des  réponses négatives. Il mesure alors le temps de réponse associé à chaque signal collecté à partir d’un endroit différent et procéde à de la triangulation. Cela lui permet de déterminer la position physique de chacun de ces appareils avec une marge d’erreur d’un mètre, même à travers un mur opaque et épais. Cela pourrait permettre à des personnes d’ausculter un domicile à la recherche de TV connectées ou d’ordinateurs portables, et/ou de repérer certains systèmes de surveillance et d’alerte. Un tel système peut suivre des personnes physiques à la trace en suivant leurs smartphones ou leurs montres connectées. L’équipe de recherche a proposé une contre-mesure: les fabricants de puces Wi-Fi pourraient introduire des variations aléatoires du temps de réponse, ce qui diminuerait grandement la précision de la triangulation. Reste à voir si les fabricants tiendront compte de ces travaux lors du déploiement du Wi-Fi7, qui devrait commencer en 2024.

Un homme interpellé en possession de cannabis a refusé, pendant sa garde à vue, de donner les mots de passe de ses deux téléphones portables. Il est renvoyé en correctionnelle pour cette affaire, mais aussi pour avoir refusé de remettre la « convention secrète de déchiffrement d’un moyen de cryptologie » susceptible d’avoir été utilisée pour commettre l’infraction, un délit passible de trois ans d’emprisonnement. Le tribunal correctionnel de Lille, puis la cour d’appel de Douai l’avaient relaxé de cette dernière infraction, considérant que le code n’était pas une « convention de déchiffrement », car il ne servait pas à décrypter des données mais uniquement à débloquer un écran d’accueil. Saisie une première fois, la chambre criminelle de la Cour de cassation censure en 2020 la décision de la cour d’appel, estimant qu’elle a eu un raisonnement « général et erroné ». L’affaire est renvoyée à la cour d’appel de Douai qui refuse, en 2021, de suivre cette jurisprudence et confirme la décision de relaxe.

Après un pourvoi du parquet général, c’est en assemblée plénière que la Cour de cassation a réexaminé cette question le 14 octobre. La haute juridiction a a statué, lundi 7 novembre que, dès lors qu’un téléphone portable était équipé d’un « moyen de cryptologie », le code de déverrouillage de son écran d’accueil pouvait constituer une « clé de déchiffrement » si « l’activation de ce code a[vait] pour effet de mettre au clair les données cryptées que l’appareil contient ou auxquelles il donne accès ». Son détenteur est donc tenu de donner aux enquêteurs le code de déverrouillage. En cas de refus, le suspect commet l’infraction de « refus de remettre une convention secrète de déchiffrement ».

Après des semaines de déni, le gouvernement grec a dû reconnaître que les services de Renseignements (l’EYP) ont espionné un eurodéputé, et probablement des journalistes en infectant leurs téléphones avec un logiciel d’espionnage, le Predator. Tout commence le 28 juin dernier, un eurodéputé socialiste soumet alors son téléphone portable au service spécialisé du Parlement européen pour détecter l’éventuelle présence de logiciels illégaux. Dès le premier contrôle, un lien suspect lié à l’outil de surveillance de Predator a été détecté. Predator est commercialisé par la société Cytrox, basée à Skopje, en Macédoine du Nord. Cette start-up a été rachetée en 2019 par un ancien officier israélien spécialisé dans le cyber espionnage, Tal Dilian. Cytrox dispose désormais de bureaux en Israël et en Hongrie. Tal Dilian a intégré Cytrox dans sa galaxie de sociétés qui proposent ses services aux gouvernements, Intellexa. Il vise à concurrencer l’autre groupe israélien, NSO.

Predator utilise les failles de sécurité des smartphones qui utilisent le système IOS (Apple) ou Android (Google). Il suffit que l’utilisateur clique sur un lien envoyé par la messagerie WhatsApp pour que le mouchard s’installe et commence à récolter des données. Cytrox utilise de faux comptes sur les réseaux sociaux et de faux sites pour inciter les cibles de ses clients à cliquer sur un lien contaminé. Selon Meta, plus de 50.000 de ses utilisateurs ont été ciblés par le logiciel espion. Ils ont été avertis individuellement. Le groupe a supprimé quelque 300 comptes Instagram et Facebook créés par Cytrox. Ils étaient utilisés pour obtenir des informations sur les cibles, les approcher et les infecter. Le groupe a également supprimé 1500 comptes qui avaient envoyé des liens contaminés vers des cibles.

Il faut souligner que les pays les plus avancés technologiquement disposent des ressources au sein de l’appareil d’État pour développer leur propre logiciel espion sur mesure, sans passer par une société commerciale. Pegasus ou Predator peuvent être vus comme des solutions proposées aux États qui ne disposent pas des fonds ou de l’expertise nécessaire à ce développement interne d’outils de surveillance.

DuckDuckGo fait partie de ces entreprises qui ont construit leur réputation sur la base d’une politique basée sur la protection des données personnelles et des libertés numériques. La protection contre les trackers est un argument phare de DuckDuckGo, qui l’affiche en bonne place sur sa page d’accueil… Mais il a été découvert que l’application mobile du navigateur DuckDuckGo permet à certains sites de Microsoft de contourner entièrement le blocage du pistage de l’utilisateur. Le navigateur bloque effectivement les trackers d’autres géants comme Google, mais fait une exception pour Bing et LinkedIn, deux domaines qui appartiennent directement à Microsoft. Gabriel Weinber, le PDG et fondateur de DuckDuckGo, a du reconnaitre que  “Pour le blocage des trackers qui ne relèvent pas de la recherche, nous bloquons la plupart des trackers tiers (…) Malheureusement, notre accord avec Microsoft nous empêche d’aller plus loin sur les propriétés de Microsoft”. DuckDuckGo reste de loin préférable à Google, mais ça la fout mal quand meme.

Selon une enquête du Conseil irlandais pour les libertés civiles (ICCL), basée sur des chiffres publics, mais aussi certaines sources confidentielles portant sur l’ampleur du RTB (real-time bidding), Google et les autres grands acteurs tech nous géolocalisent presque en permanence. Particulièrement en cause, le RTB qui est un type de publicité reposant sur la mise aux enchères d’un espace de diffusion.

Concrètement, lorsqu’un utilisateur consulte une page web avec un encart publicitaire, son profil est automatiquement analysé par différents annonceurs potentiels, qui ont alors accès à plusieurs informations le concernant, et notamment sa géolocalisation. En croisant un certain nombre de données, les entreprises se livrent alors à une vente aux enchères, qui déterminera par la suite quelle publicité afficher en fonction du profil utilisateur, et du prix mis sur la table. Cette opération ne prend que quelques centaines de millisecondes.

Google partagerait ainsi 71 milliards de géolocalisations RTB en Europe chaque année. Un Européen est donc géolocalisé en moyenne 376 fois par jour. Et ce chiffre est de moitié inférieur à celui enregistré aux États-Unis, où aucun règlement ne garantit la sécurité des données en ligne. Selon l’ICCL, ces résultats sont d’autant plus inquiétants qu’ils pourraient être loin de la réalité. Les chiffres du rapport indiquent en effet qu’il s’agit là d’une “estimation basse”, qui n’inclut pas les diffusions RTB de Facebook ou Amazon.

Lire l’étude de l’ICCL

Une équipe internationale de chercheurs français, israéliens et australiens vient de développer une technique capable d’identifier des utilisateurs sur la base d’une “empreinte” laissée par le GPU (puce disposée sur la carte graphique) de leur système. Sur une chaîne de production, il est impossible d’obtenir deux éléments parfaitement identiques. Au niveau des cartes graphiques, cela se traduit par de petites variations au niveau des performances. Souvent négligeables en pratique, elles peuvent toutefois être quantifiées par des outils d’analyse très précis.

C’est ce qui a été exploité par ces chercheurs qui ont développé un script qui fait tourner des petits bouts de code sur des sous-unités précises du GPU. Or, à cause des petites différences liées au processus de production, chaque sous-unité affiche des performances très légèrement différentes. Ces dernières sont alors compilées pour en extraire une sorte d’empreinte digitale unique. Celle-ci permet ensuite d’identifier individuellement une unité… et donc théoriquement de suivre l’utilisateur à la trace. Et cela concerne aussi les appareils équipés de cartes dédiées que de GPU intégrés, comme les smartphones, Chromebooks, et autres appareils plus modestes. Et comme il s’agit d’une empreinte basée presque entièrement sur des paramètres physiques, elle est particulièrement stable, et donc exploitable sur une longue durée.

pour en savoir plus

Les différences de performances entre deux GPU, synthétisées sous forme de graphique