L’outil de piratage conçu par Cellebrite et utilisé par le FBI et d’autres organismes chargés de l’application de la loi dans le monde entier pour extraire des données d’un iPhone bloqué est maintenant en vente sur eBay à partir de 100 dollars.

Le dispositif Cellebrite (UFED) est en effet le plus puissant outil jamais créé par la société israélienne pour extraire une énorme quantité de données de smartphones iOS et Android, même si elles ont été supprimées par l’utilisateur. Un tout nouvel appareil coûterait entre 5 000 et 15 000 USD selon les modèles, mais certaines versions plus anciennes sont désormais disponibles sur eBay dès 100 USD et atteignant un maximum d’environ 1 500 USD.

Forbes confirme que certains de ces appareils sont vendus par les forces de police et contiennent parfois encore des données extraites du téléphone de personnes impliquées dans des enquêtes criminelles.

Matthew Hickey, chercheur en cybersécurité et cofondateur de l’académie de formation Hacker House, a acheté une douzaine d’appareils UFED à eBay et les a scannés pour en extraire les données stockées. Les données utilisateur étaient toujours présentes dans plusieurs périphériques, notamment le code IMEI et d’autres identificateurs uniques.

Hickey pense qu’il pourrait extraire davantage d’informations personnelles, telles que des listes de contacts ou le contenu d’un message, mais a décidé de ne pas en dire plus : « Je me sentirais un peu malade s’il y avait une photo d’un lieu du crime ou quelque chose du genre ».

Dans tous les cas, Hickey était capable d’extraire les données de certains iPhones utilisant ces anciens UFED, mais ils ne semblent pouvoir fonctionner que jusqu’à l’iPhone X et iOS 11.

Apple et Google sont engagés dans une longue bataille avec des sociétés comme Cellebrite. Les outils de piratage exploitent les vulnérabilités Zero-Day, inconnues d’Apple et de Google, puis créent des outils capables de casser les systèmes de sécurité des smartphones. Dès que les fabricants de smartphones prennent conscience d’une vulnérabilité, ils les corrigent avec diverses mises à jour.

Hickey dit qu’un autre danger de la vente de ces appareils sur eBay est qu’ils pourraient être décodés pour révéler les détails des vulnérabilités sur lesquelles ils sont basés.

Cellebrite a répété à ses clients que les conditions de vente ne permettaient pas la revente de l’appareil et que les unités désaffectées devaient être éliminées avant d’être renvoyées à l’entreprise.

2 Commentaires

Partager un commentaire