Failles alléguées dans l’outil Cellebrite UFED: on pourrait devoir douter de preuves tirées de cellulaires verrouillés

Comme on s’en doute, les policiers se butent parfois à des appareils cellulaires dont le contenu n’est pas accessible pour eux, parce que verrouillé. Principe de base en sécurité, autant pour les citoyens honnêtes que les malfrats : verrouillez votre appareil lorsqu’il n’est pas utilisé. Pour les policiers, cela crée parfois des problèmes puisque la preuve requise se trouvera parfois à l’intérieur d’un appareil ainsi bloqué. Quand cela se produit, les forces de l’ordre disposent de certains outils qui peuvent s’avérer utiles, notamment le produit UFED d’une société israélienne nommée Cellebrite.

En utilisant UFED, les forces de l’ordre pourront parfois avoir accès aux données que renferme l’appareil mobile d’un suspect, y compris s’il s’agit d’un cellulaire de marque iPhone. On s’en doute, l’accès aux données d’un cellulaire peut s’avérer une mine d’or pour trouver de la preuve, incluant les messages, les fichiers, etc.

Or (et c’est là que l’histoire devient intéressante), récemment on est parvenu à mettre la main sur UFED et à en examiner la sécurité ou, plus précisément, la quasi-absence de sécurité, selon certains. En fait, selon le rapport à ce sujet que faisait Moxie Marlinspike (créateur de l’appli Signal), le produit de Cellebrite s’avère tellement truffé de vulnérabilités logicielles qu’on peut aisément le corrompre simplement en l’utilisant sur un cellulaire piégé. Selon lui, quand cela se produit, certains rapports issus d’UFED pourraient être modifiés à l’insu de l’opérateur.

Ce que cela a à faire avec le droit, c’est que les médias rapportent qu’un procureur de la défense (créatif, disons-le) s’est déjà emparé de cette information afin de contester la condamnation de l’un de ses clients, laquelle avait entre autres été obtenue grâce à de la preuve générée par UFED. Après tout, si on ne peut se fier sur les résultats d’un outil utilisé pour créer de la preuve, ne devrait-on pas à tout le moins pouvoir contester le résultat d’un procès dans lequel une telle preuve a été présentée? En telles circonstances, il est concevable que certaines condamnations (liées à de la preuve obtenue grâce à UFED) puissent être remises en question, incluant en demandant la tenue de nouveaux procès.

UFED serait utilisé à grande échelle par les forces de l’ordre, particulièrement quand une enquête se bute à un iPhone verrouillé. On ignore encore combien de cas cela pourrait toucher si ce problème d’UFED est un jour confirmé.

Voilà donc là un nouvel exemple de l’interaction perpétuellement problématique entre la cybersécurité et le droit.