Portrait of Handsome Startup Digital Entrepreneur Working on Computer, Line of Code Reflecting in Glasses. Developer Working on Innovative e-Commerce Application using AI Algorithm to use Big Data

Comment les agents de l’application des lois ont accès aux appareils cryptés

Lucas Morel

Des méthodes d’investigation traditionnelles aux exploits zéro-jours, les autorités ont une gamme de techniques à leur disposition, y compris les recherches numériques aux frontières, qui pourraient présenter des préoccupations pour les CISO.

L’accès aux données sur les appareils cryptés peut sembler quelque chose à partir d’un hacker ou d’un film d’espionnage, mais pour les forces de l’ordre, c’est un défi très réel.

La question est pertinente pour les CISO et autres professionnels de la sécurité parce que les travailleurs des voyages de vente ou de la participation à des conférences à l’étranger pourraient faire face à des demandes pour décrypter les appareils et présenter leur contenu aux passages frontaliers.

Les agents frontaliers chinois, par exemple, peuvent utiliser des équipements spécialisés pour extraire les données des appareils, même s’ils sont verrouillés ou cryptés.

Contrairement aux films, le forçage brute d’une clé de chiffrement AES ou des technologies de chiffrement similaires n’est pas pratique – au moins en attendant l’avènement d’ordinateurs quantiques suffisamment puissants.

Le chiffrement moderne est assez solide, mais heureusement pour les agences d’application de la loi et d’espionnage, le logiciel et les personnes qui l’utilisent sont assez faillibles.

Demandes d’accès

L’accès au téléphone mobile ou à l’ordinateur d’un suspect est une priorité élevée pour les forces de l’ordre.

Lorsqu’un appareil mobile est saisi, les forces de l’ordre peuvent demander la broche, le mot de passe ou les données biométriques du suspect pour accéder au téléphone s’il pense qu’il contient des preuves pertinentes pour une enquête.

En Angleterre et au Pays de Galles, si le suspect refuse, la police peut donner un avis de conformité, et un autre refus est en soi une infraction pénale en vertu de la loi sur la réglementation des pouvoirs d’enquête (RIPA).

«Si l’accès n’est pas acquis, les forces de l’ordre utilisent des outils médico-légaux et des logiciels pour débloquer, décrypter et extraire des preuves numériques critiques d’un téléphone mobile ou d’un ordinateur», explique James Farrell, associé chez Cyber ​​Security Consultancy Cyxcel. «Cependant, il existe des défis sur les appareils plus récents et le succès peut dépendre de l’utilisation de la version du système d’exploitation.»

En général, les organismes d’application de la loi ont accès à des appareils cryptés (PC et appareils mobiles) en utilisant l’une des nombreuses approches générales:

  • Techniques d’investigation traditionnelles
  • Exploitation des vulnérabilités et zéro jours
  • Raies
  • Coopération du fabricant
  • Piratage à distance
  • Attaques de la chaîne d’approvisionnement

Techniques d’investigation traditionnelles

L’approche la plus simple est que les organismes d’application de la loi saisissent les appareils dans un état «déverrouillé». La recherche et la saisie des emplacements physiques pour trouver des mots de passe écrits ou des copies non cryptées des données peuvent également être possibles.

La surveillance pour capturer des mots de passe ou des clés de chiffrement lorsqu’ils sont entrés offre une autre approche conventionnelle pour accéder aux données sur les appareils cryptés.

Deviner simplement le mot de passe de l’appareil peut être viable ou non en fonction des lock-out de réessayer et du type de mécanisme de mot de passe / de verrouillage choisi, mais c’est une possibilité.

Exploits de vulnérabilité

Semblable aux testeurs de pénétration, les forces de l’ordre ou les fournisseurs, tels que Cellebrite, tirent parti des vulnérabilités au contournement du cryptage.

Souvent appelés jours zéro, ceux-ci peuvent être inconnus du grand public ou même du fabricant d’appareils à l’époque.

Dans certains cas, les vulnérabilités plus anciennes – mais seulement partiellement résolues – pourraient toujours être ouvertes à l’exploitation.

Par exemple, une conférence sur la récente conférence du Chaos Computer Club a montré comment le contournement du cryptage Bitlocker sur un système Windows 11 entièrement à jour pourrait être possible. Le hack a exploité une vulnérabilité Windows, Bitpixie (CVE-2023-21563), combinée à une attaque de dégradation.

L’exploitation de la vulnérabilité Bitpixie contre Windows BitLocker implique de forcer la machine à démarrer en mode de récupération sur une connexion réseau, chargeant la touche de montage de volume dans la mémoire.

Une autre machine peut ensuite créer un vidage de mémoire sur le réseau local, qui contient la clé, en contournant efficacement BitLocker.

L’exploit ouvre la porte à un compromis à grande échelle d’un système Windows protégé par le cryptage Bitlocker, en utilisant Secure Boot et TPM (module de plate-forme de confiance).

«Ce n’est pas une nouvelle vulnérabilité, mais sa portée est limitée aux systèmes UEFI, ce qui signifie qu’il se penche en faveur des appareils plus récents», explique Conor Agnew, responsable des opérations de conformité à la société de portes fermées de la société de tests de pénétration.

Agnew a poursuivi: «Il a été annoncé publiquement en 2023 et soi-disant corrigé. Ce qui est le plus préoccupant, c’est la façon dont il n’y a pas l’obligation habituelle d’avoir la possession d’un appareil, le dépouiller en morceaux et les clés de cryptage de forçage brute. »

« C’est une attaque très rapide – en termes relatifs d’attaques de décryptage – et ne sera probablement pas résolu avant 2026, lorsque Microsoft déploie les mises à jour du certificat de démarrage sécurisé », explique Agnew.

Être en mesure d’annuler entièrement le cryptage sur le disque pose évidemment une énorme préoccupation pour toute personne transportant des données sur des appareils portables.

« La prise de quelque chose qui exécute Bitlocker comme la seule forme de cryptage devient essentiellement un livre ouvert », explique Agnew. « Nous n’avons pas à regarder trop loin pour voir des appareils MOD (Ministère de la Défense) laissés aux arrêts de bus. »

Raies

Des fournisseurs tels que Apple affirment publiquement, ils ne créent pas de bornes pour les forces de l’ordre, mais il y a beaucoup de spéculations autour de cela et de nombreux fournisseurs ont été pris avec des déposées ou des faiblesses de sécurité dans leurs systèmes.

Les organismes d’application de la loi ont obligé les entreprises à créer des solutions «d’accès légal», en particulier sur les smartphones, pour prendre Apple comme exemple.

« Vous avez également la coopération des sociétés de cloud, qui, si des sauvegardes sont maintenues, peuvent éviter la nécessité de briser le chiffrement d’un appareil tous ensemble », explique Agnew de la sécurité de la porte fermée.

La communauté de la sécurité s’est disputée depuis longtemps contre les portes de portée des forces de l’ordre, notamment parce qu’ils créent des faiblesses de sécurité que les pirates criminels pourraient exploiter.

« Malgré les protestations des organisations de l’application des lois et de la sécurité nationale, la création d’une clé squelette pour accéder aux données cryptées n’est jamais une solution raisonnable », soutient Watkins de CreenEfture.

«Ce à quoi les bons acteurs peuvent accéder, les mauvais acteurs finissent aussi. Il en va de même pour les délais au niveau matériel dans des appareils comme les téléphones et les ordinateurs portables – souvent demandés par les forces de l’ordre mais une idée terrible pour une véritable sécurité », ajoute Watkins.

Piratage à distance

L’accès à distance aux téléphones et aux ordinateurs peut être réalisé grâce à un piratage à distance avec les autorités sanctionnées pertinentes.

«Cela comprend l’accès aux données et l’écoute des communications», explique Farrell de Cyxcel. « Alternativement, les logiciels ou le matériel peuvent être introduits secrètement aux appareils physiques, puis surveillés à distance. »

Les organismes chargés de l’application des lois doivent identifier le numéro du suspect avant d’atteindre l’accès à distance. Ceci peut être réalisé en déploiant des équipements qui reproduisent une station de base du site de cellule.

«Le déploiement de l’équipement convainc les téléphones qu’il s’agit de la meilleure connexion et une fois connectés, l’IMSI (International Mobile Abonné identité) est ensuite enregistré», explique Farrell. «L’utilisation tactique avec le suspect sous surveillance identifiera le numéro de téléphone des suspects. Cet équipement est utilisé à l’échelle mondiale par les forces de l’ordre. »

Selon l’emplacement de l’utilisateur, un réseau Wi-Fi twin maléfique dans un lieu public pourrait permettre un accès déchiffré au trafic réseau sans accéder physiquement à la machine.

Les logiciels malveillants sont probablement le moyen le plus simple d’atteindre l’accès à la machine, probablement grâce à une attaque ciblée, comme inciter un suspect à télécharger des logiciels malveillants ou une clé USB laissée sur un bureau avec un «bitcoin gratuit» imprimé dessus (ou une promesse attrayante similaire).

« Une alternative similaire, qui ressemble à un complot » mission impossible « mais qui est utilisée aujourd’hui, consiste à exploiter les canaux latéraux, tels que les interférences EM (électro magnétique) ou les attaques acoustiques, pour récupérer le mot de passe d’une machine », explique Watkins de Createfuture.

«Les claviers sans fil et autres appareils sont souvent vulnérables et peuvent être exploités à l’insu de l’utilisateur», ajoute Watkins.

Attaques de la chaîne d’approvisionnement

Une autre possibilité d’exposer la clé de cryptage ou le mot de passe d’une cible repose sur des logiciels malveillants ou des interférences matérielles en utilisant quelque chose d’installation dans la chaîne d’approvisionnement.

ENCROCHAT était un réseau de communications crypté basé en Europe et un fournisseur de services. Il a offert des smartphones Android modifiés avec des fonctionnalités de sécurité améliorées, y compris les communications chiffrées et l’essuyage à distance.

Le service a gagné en popularité parmi les criminels après la fermeture de services similaires, contribuant à stimuler son abonnement à environ 60 000 abonnés d’ici la mi-2010.

Les agences européennes d’application de la loi ont réussi à infiltrer le réseau ENCROCHAT, déploiement de logiciels malveillants sur un serveur français leur permettant d’accéder aux messages et de désactiver la fonction d’essuyage de panique. L’opération de police a entraîné des milliers d’arrestations.

Jessica Sobey, avocat de Stokoe Partnership Solicitors, avocate expérimentée de la défense pénale, a déclaré que la recevabilité des preuves obtenues par le piratage d’Enprochat était farouchement contestée au tribunal.

Sobey ajoute: «Les avocats de la défense continuent cependant de faire valoir que l’IPT a brouillé la distinction entre les mandats en vrac et les mandats thématiques et cela pourrait encore s’avérer être un terrain fertile pour les défis juridiques. concernant la collecte de preuves numériques à partir d’appareils chiffrés. »

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Stratégie de poker avec Mark Mazmanian: Dans quelle direction allez-vous? Une main d'Archie
Stratégie de poker avec Mark Mazmanian: Dans quelle direction allez-vous? Une main d’Archie
Foxen Family marque le deuxième trophée de l'Open de poker américain 2025
Foxen Family marque le deuxième trophée de l’Open de poker américain 2025
Merger and acquisition
Le moment le plus dangereux pour la sécurité des entreprises? Un mois après une acquisition