Archives de l’étiquette : policiers

L’outil iVe et la quantité effarante de données qu’emmagasine votre véhicule, notamment en les téléchargeant de votre cellulaire

Publié le par

Le magazine en ligne The Intercept publiait récemment un excellent article intitulé YOUR CAR IS SPYING ON YOU, AND A CBP CONTRACT SHOWS THE RISKS que je vous recommande. Si vous l’ignoriez, oui, votre voiture génère, enregistre et télécharge pas mal de renseignements, y compris lorsque vous branchez votre téléphone cellulaire – c’est très réel.

L’article en question parle surtout d’enquêtes par les forces de l’ordre (enquêtant sur des crimes), mais l’histoire va en réalité bien plus loin que cela. En effet, chose intéressante qu’ignorent la plupart des gens: ce genre de chose se produit aussi (et plus souvent encore) du côté privé. En fait, l’accès aux données contenues dans les véhicules s’avère possible pour quiconque veut vraiment s’en donner la peine, ce qui peut comprendre, par exemple, votre assureur auto. Si vous avez un accident ou même une simple réclamation, eh oui, l’assureur pourrait très bien demander à voir le véhicule et alors y brancher un appareil lui permettant d’en extraire toutes les données qui pourraient s’avérer pertinentes, incluant toutes celles du genre énumérées ci-après. Bienvenue en 2021!

L’article discute spécifiquement d’un outil qu’utilisent allègrement les policiers et les assureurs, qui se nomme iVe, le produit d’une société nommée Berla. La boîte à outils d’iVe comporte des composantes matérielles et des composantes logicielles, dont sa propre appli mobile, question de faciliter la vie aux enquêteurs, eh oui.

Cet outil, on l’utilise ni plus ni moins que pour siphonner toute l’information et tous les renseignements qui pourraient subsister dans les modules électroniques des véhicules, à des fins d’enquête. Ce produit identifie, acquiert et analyse toutes sortes d’information issue des véhicules modernes – vous en seriez renversés. On peut d’ailleurs voir sur le site du producteur de l’outil un aperçu du genre de données qu’on peut aller chercher, incluant :

  • Les données de géolocalisation quant à là où le véhicule a circulé (évidemment), incluant les routes et rues empruntées, etc.;
  • Les événements rencontrés par le véhicule et que ses capteurs peuvent déceler;
  • Les fichiers de médias (contenus) qu’on a chargés dans le système d’infodivertissement (la musique, les balados, etc.);
  • La liste des appareils qu’on y a branchés au fil du temps, incluant la signature individuelle de chacun, etc.

En pratique, il semble qu’on peut même aller chercher par l’entremise de cet outil des listes de contacts stockées dans les appareils mobiles qui ont été branchés, l’historique et des copies de SMS ou de courriels, des listes d’appels entrants ou sortants, la liste des chansons qu’on a écoutées, etc. En gros, votre véhicule est une passoire à renseignements personnels, du moins pour ceux qui se donnent la peine de se munir du bon outil pour les extraire.

Parmi les «incidents» qui sont enregistrés par les véhicules, on peut notamment penser au déploiement des coussins gonflables ou des choses uniquement liées à des accidents (évidemment), mais aussi, et c’est peut-être plus surprenant, des comportements du conducteur tels :

  • la vitesse du véhicule à tel ou tel moment;
  • l’engagement ou la progression des changements de vitesse;
  • les accélérations ou les freinages brusques;
  • le fait d’éteindre ou d’allumer les phares;
  • l’ouverture ou la fermeture des portières; etc.

Vous écoutiez la chanson PARANOID de Black Sabbath, en textant votre ami Simon, pendant que vous conduisiez à 163 km/h sur telle route de campagne quand vous avez perdu le contrôle? Eh oui, l’assureur peut le savoir, très précisément, sans aucune difficulté. Oui, à peu près tout ce que fait le conducteur d’un véhicule est enregistré dans les véhicules modernes (et plus encore quand on y a branché son cellulaire), souvent à l’insu de Monsieur et Madame Tout-le-Monde. Cela s’avère évidemment fort utile, notamment, pour les assureurs désirant refuser la couverture au moment d’un incident.

Si cela peut vous rassurer (un peu), l’outil iVe n’est pas à la portée de tous. L’article mentionne l’achat de trousses pour une somme de près de 100000$US chacune*.  À ce prix, votre assureur (ou ses enquêteurs) en possède – votre voisin (même amateur de voitures), probablement pas.

*Un contact me dit que le prix serait en réalité de quelques dizaines de milliers de dollars seulement, mais même à ce prix, on s’entend que ce n’est pas à la portée de tous.

Un ami ingénieur qui travaille dans les reconstitutions d’accidents et d’incidents impliquant des véhicules me confirme d’ailleurs que l’outil en question s’avère bien réel et fait effectivement partie de la trousse des experts comme lui. On ne parle pas de science-fiction, c’est très réel et concret, et l’information qu’on tire de ces outils est réellement utilisée par les forces de l’ordre et les assureurs quand ils mettent le grappin sur un véhicule après un incident, comme un accident ou un incendie.

La réalité, c’est que les modules embarqués sur nos véhicules modernes et la capacité d’y brancher des appareils mobiles s’avèrent des mines d’or pour ceux qui veulent se donner la peine d’y accéder.

Il semble d’ailleurs que certaines données sont nécessairement générées et/ou communiquées au véhicule, et ce, même si on répond NON au moment de brancher l’appareil, lorsque le véhicule nous demande si l’appareil mobile devrait en communiquer. Bref, tout ce qu’on fait avec nos appareils et véhicules laisse désormais des traces, prenez-en note!

Donc, si vous pensiez qu’un véhicule n’est qu’un véhicule ou que vos données personnelles sont protégées quand vous branchez votre mobile dans votre véhicule, ou encore qu’on ne peut accéder aux données que les véhicules accèdent ou génèrent quand vous les utilisez, détrompez-vous! Dans le monde actuel, plutôt qu’une batterie de tests sophistiqués effectués par une équipe d’experts dignes de la série CSI, tout ce dont auront souvent besoin les enquêteurs, c’est de se brancher à votre voiture.

Failles alléguées dans l’outil Cellebrite UFED: on pourrait devoir douter de preuves tirées de cellulaires verrouillés

Publié le par

Comme on s’en doute, les policiers se butent parfois à des appareils cellulaires dont le contenu n’est pas accessible pour eux, parce que verrouillé. Principe de base en sécurité, autant pour les citoyens honnêtes que les malfrats : verrouillez votre appareil lorsqu’il n’est pas utilisé. Pour les policiers, cela crée parfois des problèmes puisque la preuve requise se trouvera parfois à l’intérieur d’un appareil ainsi bloqué. Quand cela se produit, les forces de l’ordre disposent de certains outils qui peuvent s’avérer utiles, notamment le produit UFED d’une société israélienne nommée Cellebrite.

En utilisant UFED, les forces de l’ordre pourront parfois avoir accès aux données que renferme l’appareil mobile d’un suspect, y compris s’il s’agit d’un cellulaire de marque iPhone. On s’en doute, l’accès aux données d’un cellulaire peut s’avérer une mine d’or pour trouver de la preuve, incluant les messages, les fichiers, etc.

Or (et c’est là que l’histoire devient intéressante), récemment on est parvenu à mettre la main sur UFED et à en examiner la sécurité ou, plus précisément, la quasi-absence de sécurité, selon certains. En fait, selon le rapport à ce sujet que faisait Moxie Marlinspike (créateur de l’appli Signal), le produit de Cellebrite s’avère tellement truffé de vulnérabilités logicielles qu’on peut aisément le corrompre simplement en l’utilisant sur un cellulaire piégé. Selon lui, quand cela se produit, certains rapports issus d’UFED pourraient être modifiés à l’insu de l’opérateur.

Ce que cela a à faire avec le droit, c’est que les médias rapportent qu’un procureur de la défense (créatif, disons-le) s’est déjà emparé de cette information afin de contester la condamnation de l’un de ses clients, laquelle avait entre autres été obtenue grâce à de la preuve générée par UFED. Après tout, si on ne peut se fier sur les résultats d’un outil utilisé pour créer de la preuve, ne devrait-on pas à tout le moins pouvoir contester le résultat d’un procès dans lequel une telle preuve a été présentée? En telles circonstances, il est concevable que certaines condamnations (liées à de la preuve obtenue grâce à UFED) puissent être remises en question, incluant en demandant la tenue de nouveaux procès.

UFED serait utilisé à grande échelle par les forces de l’ordre, particulièrement quand une enquête se bute à un iPhone verrouillé. On ignore encore combien de cas cela pourrait toucher si ce problème d’UFED est un jour confirmé.

Voilà donc là un nouvel exemple de l’interaction perpétuellement problématique entre la cybersécurité et le droit.

La fouille d’appareils électroniques aux douanes exigerait des soupçons raisonnables

Publié le par

Comme vous le savez sans doute, depuis trente ans, nos douaniers ont progressivement adapté leurs protocoles pour en venir à considérer qu’ils pouvaient farfouiller dans tout ce qu’apporte avec lui un voyageur, incluant le contenu de ses appareils électroniques. Oui, dans le monde actuel, le douanier moyen peut très bien vous demander de voir le contenu de votre ordi ou de votre téléphone intelligent, c’est à ce point.

Bonne nouvelle de ce côté: les médias rapportaient cette semaine une décision albertaine en appel qui conclut que, contrairement à la prétention des douaniers canadiens, une fouille arbitraire d’appareil électronique, que ce soit à la frontière ou ailleurs, s’avère abusive. En principe (toujours selon cette décision), on ne devrait pouvoir fouiller ainsi que si on soupçonne qu’il y a anguille sous roche, pour ainsi dire. À défaut, si on trouve quelque chose suite à une telle fouille, l’accusé pourrait faire rejeter la preuve sur cette base, puisqu’on a enfreint ses droits fondamentaux contre les fouilles abusives par l’État. Ce genre de barème s’applique déjà aux policiers, et la Cour d’appel albertaine ne voit pas de raison de ne pas aussi l’étendre à nos agents des services frontaliers. Ouf, de dire plusieurs, y compris les avocats qui doivent passer la frontière en possession d’un appareil mobile contenant des renseignements privilégiés.

Cette décision pourrait venir renverser la vapeur au Canada, en évitant désormais que nos douaniers se permettent ce qui constitue souvent des parties de pêches en règle, quand on décide manu militari de farfouiller dans l’appareil mobile d’un voyageur passant la frontière. Certes peut-on toujours fouiller physiquement l’individu, d’accord, mais la fouille numérique dépasse les bornes, de dire la Cour d’appel.

Bien que ce soit encourageant, selon moi, il ne serait pas étonnant que l’État interjette appel de ce jugement, avant que l’Agence des services frontaliers du Canada (l’«ASFC») ne mette ses protocoles à jour pour s’y conformer.