EncroChat était un réseau crypté utilisé principalement pour le trafic de drogue et le blanchiment d’argent infiltré puis démantelé en 2020 (voir notre article). EncroChat vendait pour environ 1.000 euros des téléphones entièrement cryptés, sans caméra, microphone, GPS ou port USB, avec une option “code pin panique” permettant un effacement éclair. L’enquête avait été lancée en 2018 après la localisation à Roubaix de serveurs d’EncroChat.

L’infiltration de ce réseau a permis d’intercepter 115 millions de “conversations criminelles” d’environ 60.000 utilisateurs, ce qui a amené l’arrestation de 6.658 personnes et des condamnations prononcées se totalisant jusqu’à présent à 7.134 années de prison.  L’enquête contre les organisateurs d’Encrochat, menée par la Juridiction inter-régionale spécialisée (Jirs) de Lille, cible une dizaine de personnes. Trois personnes, interpellées en juin 2022 en Espagne, ont été mises en examen sur ce volet en France, “notamment des chefs d’association de malfaiteurs en vue de la préparation de crimes ou de délits”. Deux d’entre elles ont été placées en détention provisoire. Trois suspects ont par ailleurs été arrêtés aux Pays-Bas et un quatrième est en fuite.

Un document du Conseil européen recensant les positions des différents États membres de l’Union concernant les législations sur le chiffrement, révèle un soutien significatif parmi ces États pour des propositions visant à scanner les messages privés à la recherche de contenu illégal. Sur les 20 pays de l’UE représentés dans le document, la majorité (15) s’est déclarée favorable à une forme de scan des messages chiffrés, avec une position espagnole particulièrement radicale. Des représentants espagnols ont déclaré : « Idéalement, à notre avis, il serait souhaitable d’empêcher législativement les fournisseurs de services basés dans l’UE de mettre en œuvre un chiffrement de bout en bout ». Le chiffrement de bout en bout, utilisé par WhatsApp et Signal, est conçu pour permettre uniquement à l’expéditeur et au destinataire de voir le contenu des messages, excluant toute autre partie, y compris l’éditeur de la messagerie. Si l’Espagne et d’autres pays estiment qu’il devrait être affaibli, certains États membres, comme le Danemark et l’Irlande, se disent en faveur d’une forme de scan des messageries sans affaiblir pour autant le chiffrement de bout de bout. Mais c’est quelque chose d’impossible à réaliser, d’après les experts. Les Pays-Bas proposent de leur côté la possibilité de scanner l’appareil en amont : c’est ce qu’avait proposé Apple pour les photos pédopornographiques (voir ici), mais après la polémique suscitée par cette idée, le constructeur l’avait abandonnée.

Une équipe de recherche au Canada, a récemment mis en évidence une faille de sécurité qui permet de suivre les déplacements de certains objets — et par extension, des personnes qui les portent — à travers un mur. L’appareil, baptisé Wi-Peep, est un petit circuit imprimé muni d’une interface Wi-Fi et de quelques autres capteurs tout ce qu’il ya de plus courants (l’ensemble du matériel nécessaire coûte moins de 20 $ et un programmeur avec un minimum d’expérience peut en concevoir le logiciel).  Lorsqu’un réseau est contacté, l’appareil en question ne peut s’y connecter que s’il est authentifié — si l’utilisateur dispose du mot de passe. Dans le cas contraire, le réseau ne reste pas complètement muet. Il renvoie quelques bribes de données en retour, notamment pour indiquer que l’authentification a échoué.

C’est ce comportement, surnommé « politesse du Wi-Fi », que les chercheurs ont su exploiter. Ils ont monté leur Wi-Peep sur un petit drone qui se déplace le long de la façade d’un bâtiment en bombardant tous les points d’accès du réseau de requêtes. Comme il ne dispose pas du mot de passe, il reçoit donc des  réponses négatives. Il mesure alors le temps de réponse associé à chaque signal collecté à partir d’un endroit différent et procéde à de la triangulation. Cela lui permet de déterminer la position physique de chacun de ces appareils avec une marge d’erreur d’un mètre, même à travers un mur opaque et épais. Cela pourrait permettre à des personnes d’ausculter un domicile à la recherche de TV connectées ou d’ordinateurs portables, et/ou de repérer certains systèmes de surveillance et d’alerte. Un tel système peut suivre des personnes physiques à la trace en suivant leurs smartphones ou leurs montres connectées. L’équipe de recherche a proposé une contre-mesure: les fabricants de puces Wi-Fi pourraient introduire des variations aléatoires du temps de réponse, ce qui diminuerait grandement la précision de la triangulation. Reste à voir si les fabricants tiendront compte de ces travaux lors du déploiement du Wi-Fi7, qui devrait commencer en 2024.

Un homme interpellé en possession de cannabis a refusé, pendant sa garde à vue, de donner les mots de passe de ses deux téléphones portables. Il est renvoyé en correctionnelle pour cette affaire, mais aussi pour avoir refusé de remettre la « convention secrète de déchiffrement d’un moyen de cryptologie » susceptible d’avoir été utilisée pour commettre l’infraction, un délit passible de trois ans d’emprisonnement. Le tribunal correctionnel de Lille, puis la cour d’appel de Douai l’avaient relaxé de cette dernière infraction, considérant que le code n’était pas une « convention de déchiffrement », car il ne servait pas à décrypter des données mais uniquement à débloquer un écran d’accueil. Saisie une première fois, la chambre criminelle de la Cour de cassation censure en 2020 la décision de la cour d’appel, estimant qu’elle a eu un raisonnement « général et erroné ». L’affaire est renvoyée à la cour d’appel de Douai qui refuse, en 2021, de suivre cette jurisprudence et confirme la décision de relaxe.

Après un pourvoi du parquet général, c’est en assemblée plénière que la Cour de cassation a réexaminé cette question le 14 octobre. La haute juridiction a a statué, lundi 7 novembre que, dès lors qu’un téléphone portable était équipé d’un « moyen de cryptologie », le code de déverrouillage de son écran d’accueil pouvait constituer une « clé de déchiffrement » si « l’activation de ce code a[vait] pour effet de mettre au clair les données cryptées que l’appareil contient ou auxquelles il donne accès ». Son détenteur est donc tenu de donner aux enquêteurs le code de déverrouillage. En cas de refus, le suspect commet l’infraction de « refus de remettre une convention secrète de déchiffrement ».

Après des semaines de déni, le gouvernement grec a dû reconnaître que les services de Renseignements (l’EYP) ont espionné un eurodéputé, et probablement des journalistes en infectant leurs téléphones avec un logiciel d’espionnage, le Predator. Tout commence le 28 juin dernier, un eurodéputé socialiste soumet alors son téléphone portable au service spécialisé du Parlement européen pour détecter l’éventuelle présence de logiciels illégaux. Dès le premier contrôle, un lien suspect lié à l’outil de surveillance de Predator a été détecté. Predator est commercialisé par la société Cytrox, basée à Skopje, en Macédoine du Nord. Cette start-up a été rachetée en 2019 par un ancien officier israélien spécialisé dans le cyber espionnage, Tal Dilian. Cytrox dispose désormais de bureaux en Israël et en Hongrie. Tal Dilian a intégré Cytrox dans sa galaxie de sociétés qui proposent ses services aux gouvernements, Intellexa. Il vise à concurrencer l’autre groupe israélien, NSO.

Predator utilise les failles de sécurité des smartphones qui utilisent le système IOS (Apple) ou Android (Google). Il suffit que l’utilisateur clique sur un lien envoyé par la messagerie WhatsApp pour que le mouchard s’installe et commence à récolter des données. Cytrox utilise de faux comptes sur les réseaux sociaux et de faux sites pour inciter les cibles de ses clients à cliquer sur un lien contaminé. Selon Meta, plus de 50.000 de ses utilisateurs ont été ciblés par le logiciel espion. Ils ont été avertis individuellement. Le groupe a supprimé quelque 300 comptes Instagram et Facebook créés par Cytrox. Ils étaient utilisés pour obtenir des informations sur les cibles, les approcher et les infecter. Le groupe a également supprimé 1500 comptes qui avaient envoyé des liens contaminés vers des cibles.

Il faut souligner que les pays les plus avancés technologiquement disposent des ressources au sein de l’appareil d’État pour développer leur propre logiciel espion sur mesure, sans passer par une société commerciale. Pegasus ou Predator peuvent être vus comme des solutions proposées aux États qui ne disposent pas des fonds ou de l’expertise nécessaire à ce développement interne d’outils de surveillance.

DuckDuckGo fait partie de ces entreprises qui ont construit leur réputation sur la base d’une politique basée sur la protection des données personnelles et des libertés numériques. La protection contre les trackers est un argument phare de DuckDuckGo, qui l’affiche en bonne place sur sa page d’accueil… Mais il a été découvert que l’application mobile du navigateur DuckDuckGo permet à certains sites de Microsoft de contourner entièrement le blocage du pistage de l’utilisateur. Le navigateur bloque effectivement les trackers d’autres géants comme Google, mais fait une exception pour Bing et LinkedIn, deux domaines qui appartiennent directement à Microsoft. Gabriel Weinber, le PDG et fondateur de DuckDuckGo, a du reconnaitre que  “Pour le blocage des trackers qui ne relèvent pas de la recherche, nous bloquons la plupart des trackers tiers (…) Malheureusement, notre accord avec Microsoft nous empêche d’aller plus loin sur les propriétés de Microsoft”. DuckDuckGo reste de loin préférable à Google, mais ça la fout mal quand meme.

Selon une enquête du Conseil irlandais pour les libertés civiles (ICCL), basée sur des chiffres publics, mais aussi certaines sources confidentielles portant sur l’ampleur du RTB (real-time bidding), Google et les autres grands acteurs tech nous géolocalisent presque en permanence. Particulièrement en cause, le RTB qui est un type de publicité reposant sur la mise aux enchères d’un espace de diffusion.

Concrètement, lorsqu’un utilisateur consulte une page web avec un encart publicitaire, son profil est automatiquement analysé par différents annonceurs potentiels, qui ont alors accès à plusieurs informations le concernant, et notamment sa géolocalisation. En croisant un certain nombre de données, les entreprises se livrent alors à une vente aux enchères, qui déterminera par la suite quelle publicité afficher en fonction du profil utilisateur, et du prix mis sur la table. Cette opération ne prend que quelques centaines de millisecondes.

Google partagerait ainsi 71 milliards de géolocalisations RTB en Europe chaque année. Un Européen est donc géolocalisé en moyenne 376 fois par jour. Et ce chiffre est de moitié inférieur à celui enregistré aux États-Unis, où aucun règlement ne garantit la sécurité des données en ligne. Selon l’ICCL, ces résultats sont d’autant plus inquiétants qu’ils pourraient être loin de la réalité. Les chiffres du rapport indiquent en effet qu’il s’agit là d’une “estimation basse”, qui n’inclut pas les diffusions RTB de Facebook ou Amazon.

Lire l’étude de l’ICCL

Une équipe internationale de chercheurs français, israéliens et australiens vient de développer une technique capable d’identifier des utilisateurs sur la base d’une “empreinte” laissée par le GPU (puce disposée sur la carte graphique) de leur système. Sur une chaîne de production, il est impossible d’obtenir deux éléments parfaitement identiques. Au niveau des cartes graphiques, cela se traduit par de petites variations au niveau des performances. Souvent négligeables en pratique, elles peuvent toutefois être quantifiées par des outils d’analyse très précis.

C’est ce qui a été exploité par ces chercheurs qui ont développé un script qui fait tourner des petits bouts de code sur des sous-unités précises du GPU. Or, à cause des petites différences liées au processus de production, chaque sous-unité affiche des performances très légèrement différentes. Ces dernières sont alors compilées pour en extraire une sorte d’empreinte digitale unique. Celle-ci permet ensuite d’identifier individuellement une unité… et donc théoriquement de suivre l’utilisateur à la trace. Et cela concerne aussi les appareils équipés de cartes dédiées que de GPU intégrés, comme les smartphones, Chromebooks, et autres appareils plus modestes. Et comme il s’agit d’une empreinte basée presque entièrement sur des paramètres physiques, elle est particulièrement stable, et donc exploitable sur une longue durée.

pour en savoir plus

La police de Santa Clara avait besoin d’informations sur un utilisateur de Signal dans le cadre d’une enquête. Les agents avaient donc demandé à la messagerie le nom, l’adresse postale, le numéro de téléphone, l’adresse IP et même les heures de connexion du suspect. Autant de données que Signal n’a pu délivrer, ne les ayant pas elle-même. La messagerie, chiffrée de bout en bout, ne stocke tout simplement pas les informations personnelles de ses utilisateurs. « Nous voici au second semestre 2021 », a ainsi expliqué Signal sur son blog, « Signal ne sait toujours rien de vous, mais le gouvernement continue de demander. » « Le vaste ensemble d’informations personnelles qui sont généralement faciles à récupérer dans d’autres applications n’existe tout simplement pas sur les serveurs de Signal », rappelle Signal. La messagerie a précisé qu’elle n’avait pas accès aux messages, à la liste de discussion, aux groupes, aux contacts, aux noms de profil ou avatar ou même aux GIF recherchés par ses utilisateurs. Les seules informations qu’elle peut fournir sont la date de création du compte et la dernière connexion de l’utilisateur.

Menée dans le cadre d’Europol en coordination avec Eurojust, une opération a visé le Dark Web. Baptisée « DarkHunTOR », elle a consisté en une série d’actions menées en Australie, Bulgarie, France, Allemagne, Italie, Pays-Bas, Suisse, Royaume-Uni et États-Unis. Aux États-Unis, quelque 65 personnes ont été arrêtées, 47 en Allemagne, 24 au Royaume-Uni, quatre en Italie et quatre aux Pays-Bas. Les forces de l’ordre ont entre autres saisi 26,7 millions d’euros en numéraire et monnaies électroniques, 25 000 comprimés d’ecstasy, 45 armes à feu, etc. En Italie, la police a également fermé des places de marché illégales nommées « DeepSea » et « Berlusconi » qui présentaient à elles deux plus de 100 000 annonces de produits illégaux.

L’opération faisait suite au démantèlement en janvier sous la conduite de la police allemande de la plateforme « DarkMarket », présentée alors par les enquêteurs comme le « plus vaste » point de vente du Dark Web, était lié à un coup de filet remontant à septembre 2019 en Allemagne contre un important hébergeur de services illégaux du Dark Web. Ce datacenter illégal était installé dans un ancien bunker de l’Otan dans le sud-ouest de l’Allemagne.