Cellebrite annonce pouvoir accéder aux appareils iOS jusqu'à la version 12.3, Réactions à la publication du 17/06/2019

[Lionel]

Cellebrite, une société de forensic dont on a souvent entendu parler ces derniers temps, a annoncé sur son compte Twitter qu'elle était dorénavant capable d'accéder au contenu des appareils iOS jusqu'à la version 12.3.

Cela signifie donc qu'une nouvelle faille a été découverte dans iOS.
Il s'agit maintenant d'un business à part entière avec des équipes professionnelles engagées là dessus.
Ce qui était il y a 10 ans un jeu de chat et de la souris (dixit Steve Jobs) est devenu un commerce lucratif et un impératif gouvernemental dans tous les pays ou presque.

Lien vers le billet original

[chammer]

C'est un tweet *publicitaire* qui concerne Androïd aussi.
Je suis désolé, mais il est inutile d'en faire un article "re-tweet".

Attendons conditions de hack, preuves et analyses.
Et laissons une chance aux équipes de Tim Cook d'y répliquer.

Copie de son discours de Stanford d'hier :

"If we accept as normal and unavoidable that everything in our lives can be aggregated, sold, or even leaked in the event of a hack, then we lose so much more than data.

We lose the freedom to be human.

Think about what’s at stake. Everything you write, everything you say, every topic of curiosity, every stray thought, every impulsive purchase, every moment of frustration or weakness, every gripe or complaint, every secret shared in confidence.

In a world without digital privacy, even if you have done nothing wrong other than think differently, you begin to censor yourself. Not entirely at first. Just a little, bit by bit. To risk less, to hope less, to imagine less, to dare less, to create less, to try less, to talk less, to think less. The chilling effect of digital surveillance is profound, and it touches everything.

What a small, unimaginative world we would end up with. Not entirely at first. Just a little, bit by bit. Ironically, it’s the kind of environment that would have stopped Silicon Valley before it had even gotten started.

We deserve better. You deserve better."

[vlady]

C'est un tweet *publicitaire* qui concerne Androïd aussi.
Je suis désolé, mais il est inutile d'en faire un article "re-tweet".

Attendons conditions de hack, preuves et analyses.
Et laissons une chance aux équipes de Tim Cook d'y répliquer.

Copie de son discours de Stanford d'hier :

"If we accept as normal and unavoidable that everything in our lives can be aggregated, sold, or even leaked in the event of a hack, then we lose so much more than data.

We lose the freedom to be human.

Think about what’s at stake. Everything you write, everything you say, every topic of curiosity, every stray thought, every impulsive purchase, every moment of frustration or weakness, every gripe or complaint, every secret shared in confidence.

In a world without digital privacy, even if you have done nothing wrong other than think differently, you begin to censor yourself. Not entirely at first. Just a little, bit by bit. To risk less, to hope less, to imagine less, to dare less, to create less, to try less, to talk less, to think less. The chilling effect of digital surveillance is profound, and it touches everything.

What a small, unimaginative world we would end up with. Not entirely at first. Just a little, bit by bit. Ironically, it’s the kind of environment that would have stopped Silicon Valley before it had even gotten started.

We deserve better. You deserve better."

Utile ou pas, c'est toi qui décide ?

Pour le reste (j'ai failli lâcher une larmichette), le vie privé est très précieuse, c'est vrai, et c'est pour ça notre Tim adoré en fait un produit de luxe et nous la vend à prix astronomique. Et bien sûr Tim va répliquer... en augmentant les prix pour la énième fois !

[WipeOut]

Trump aussi peut hack le monde entier

[Lionel]

C'est un tweet *publicitaire* qui concerne Androïd aussi.

Désolé, mais cela concerne tous ceux qui sont intéressés. Apple nous bassine sur la sécurité des données qu'on confie à ses appareils. Une société dit qu'elle peut accéder à ces données, cela relativise les choses.

[fxn]

c'est clair ! Le fait qu'une société soit susceptible de vendre (faut avoir les moyens) au FBI (obligatoirement en passant par un juge) nos données qui intéresse le dit FBI (ou tout autre organisme) au plus haut point est à diffuser en priorité !

Seuls les fanboys décérébrés d'applefric s'imaginent encore que iOS n'est pas une vraie passoire !

(Contrairement à Androïd)


-----------
Edit: il y vraiment des gens qui l'ont lu au premier degré , comme quoi... le ver est dans le fruit

Ce message a été modifié par fxn - 17 Jun 2019, 16:32.

[otto87]

Et ne vous leurrez pas, ce n'est sans doute pas la seule boite à avoir ce genre de technologies sous la main. Et pour avoir besoin de le tweeter, c'est que ce ne sont pas les meilleurs

Quand on pense à l’interconnexion watch, iphone, mac (android/PC aussi pas de chauvinisme) et tout les comptes de réseaux sociaux associés et la multiplication des vecteurs d'entrée dans ce bouzin, la notion de vie privé n'existe en pratique plus que dans le discours marketing...

Ce message a été modifié par otto87 - 17 Jun 2019, 09:41.

[Jack the best]

Effectivement, quand on est capable de hacker, moyennant finances, c'est rare qu'on s'en vante !
Est-ce même légal ?

[otto87]

Effectivement, quand on est capable de hacker, moyennant finances, c'est rare qu'on s'en vante !
Est-ce même légal ?

Si on prend l'exemple de facebook et de ses histoires à répétition, je crois que le problème n'est pas la légalité mais le différentiel entre le pognon qu'on peut se faire avec et ce que l'on doit payer si jamais on se fait chopper...

[fxn]

Effectivement, quand on est capable de hacker, moyennant finances, c'est rare qu'on s'en vante !
Est-ce même légal ?

le problème n'est pas là, dans ce cas il s'agit d'une prestation avec autorisation, voire réquisition d'un juge.

[EmileEssent]

Le fait qu'une société soit susceptible de vendre (faut avoir les moyens) au FBI (obligatoirement en passant par un juge) nos données qui intéresse le dit FBI (ou tout autre organisme) au plus haut point est à diffuser en priorité !

Corrigez-moi au besoin, mais il me semble que passer par un juge US n'est nécessaire que pour enquêter sur des citoyens américains, pas sur les étrangers.

[Fafnir]

Dans cette dialectique entre la cuirasse et le glaive il est précieux que des gens s'y consacrent puisque cela rend finalement le système plus robuste et avant qu'un prochain essaimage dans l'univers ne rendent les mises à jour plus complexe.

[amike]

Effectivement, quand on est capable de hacker, moyennant finances, c'est rare qu'on s'en vante !
Est-ce même légal ?

Si on prend l'exemple de facebook et de ses histoires à répétition, je crois que le problème n'est pas la légalité mais le différentiel entre le pognon qu'on peut se faire avec et ce que l'on doit payer si jamais on se fait chopper...

Mais Facebook s'entraîne aussi sur la légalité !

Coté face, on a Zuky qui clame "The future is private".
Et coté pile, on a leurs avocats qui expliquent que "Privé = ... mausolé". Càd, si un "membre partage avec un autre membre", alors "ce n'est plus privé !"
Et Facebook se permettra de "partager" avec le reste de la Terre...

En somme, aller sur un réseau comme Facebook, c'est "nier toute confidentialité", sauf à ne constituer que des pages visibles par soi même et comme archive !

Facebook et confidentialité

[Celeri]

Est-ce que cette société fait ça sous forme d'un service ou alors est-ce qu'elle vend les appareils pour le faire soi-même ?

Dans le second cas, nul doute qu'Apple se débrouillera pour mettre la main sur un exemplaire, en analysera le fonctionnement puis comblera la/les faille(s)...

[chammer]

Sur la politique tarifaire élitiste d'Apple, nous sommes tous d'accord.
Les prix sont juste débiles.

Mais c'est aussi déplacé de traiter de "fanboy Apple" un contributeur qui donne son point de vue, que de traiter de "gay" quelqu'un qui soutient une manifestation LGBT.
Bref

C'est la sécurité technologique qui est au centre de l'article et du débat.

Que feriez-vous à la place de Tim Cook (après la baisse des prix par 2) ?

Comment conjuguer la sécurité de nos informations en cas de vol/hack et les obligations règlementaires ?
Le tout sans puce T2 et avec des SSD qu'on peut démonter, cela va de soit.

[iAPX]

Effectivement, quand on est capable de hacker, moyennant finances, c'est rare qu'on s'en vante !
Est-ce même légal ?

le problème n'est pas là, dans ce cas il s'agit d'une prestation avec autorisation, voire réquisition d'un juge.

Point du tout...

Cellebrite vend des boîtiers spécialisés permettant d'analyser les données dans nos smartphones, et si tant est qu'officiellement ils n'en vendent qu'à des forces de l'ordre, et encore cette définition dépend vraiment du régime qui achète, on les retrouve après sur la place publique (sur eBay par exemple), même si étant des boîtiers physiques ça ne se répand pas comme la poudre contrairement aux hack logiciels à distance.

Il y a le besoin pour les enquêteurs, missionnés par la Justice, de pouvoir accéder dans certains cas aux contenu des appareils, et de l'autre celui d'avoir nos vie privées parfaitement protégées.
C'est antagoniste.

Et comme toute l'histoire de la cryptographie nous l'a appris (voir Clipper à ce sujet), ou simplement les cadenas homologués pour le vol aérien et tous s'ouvrant avec un passe universel qui fut rapidement entre les mains de tous les voleurs de bagage, si on créé une backdoor quelconque elle se répandra tôt ou tard et sera utilisé pour affaiblir la sécurité de tous.

Ce message a été modifié par iAPX - 17 Jun 2019, 12:27.

[fxn]

Effectivement, quand on est capable de hacker, moyennant finances, c'est rare qu'on s'en vante !
Est-ce même légal ?

le problème n'est pas là, dans ce cas il s'agit d'une prestation avec autorisation, voire réquisition d'un juge.

Point du tout...

Cellebrite vend des boîtiers spécialisés permettant d'analyser les données dans nos smartphones, et si tant est qu'officiellement ils n'en vendent qu'à des forces de l'ordre, et encore cette définition dépend vraiment du régime qui achète, on les retrouve après sur la place publique (sur eBay par exemple), même si étant des boîtiers physiques ça ne se répand pas comme la poudre contrairement aux hack logiciels à distance.

Il y a le besoin pour les enquêteurs, missionnés par la Justice, de pouvoir accéder dans certains cas aux contenu des appareils, et de l'autre celui d'avoir nos vie privées parfaitement protégées.
C'est antagoniste.

Et comme toute l'histoire de la cryptographie nous l'a appris (voir Clipper à ce sujet), ou simplement les cadenas homologués pour le vol aérien et tous s'ouvrant avec un passe universel qui fut rapidement entre les mains de tous les voleurs de bagage, si on créé une backdoor quelconque elle se répandra tôt ou tard et sera utilisé pour affaiblir la sécurité de tous.

ok donc "point" pas "du tout" en fait...

[joeledition]

Et ne vous leurrez pas, ce n'est sans doute pas la seule boite à avoir ce genre de technologies sous la main. Et pour avoir besoin de le tweeter, c'est que ce ne sont pas les meilleurs

Quand on pense à l’interconnexion watch, iphone, mac (android/PC aussi pas de chauvinisme) et tout les comptes de réseaux sociaux associés et la multiplication des vecteurs d'entrée dans ce bouzin, la notion de vie privé n'existe en pratique plus que dans le discours marketing...

Selon moi, vie privée ne signifie pas que nos données sont totalement inaccessibles, mais plutôt qu'elles sont difficilement accessibles. Il y a donc différents degrés de vie privée selon la difficulté d'accès à nos informations. Et ce n'est pas parce que la sécurité d'un appareil n'est pas infaillibe (elle ne l'est jamais) qu'on ne peut pas prétendre à vouloir protéger le peu d'intimité qu'il nous reste encore.

Il y a tout de même une énorme différence entre tracking et hacking. On parle d'une part de la récupération systématique et à grande échelle de nos données, et d'autre part d'un outil spécialisé (et vraisemblablement très onéreux) qui nécessite un accès physique au téléphone.

[vlady]

Sur la politique tarifaire élitiste d'Apple, nous sommes tous d'accord.
Les prix sont juste débiles.

Mais c'est aussi déplacé de traiter de "fanboy Apple" un contributeur qui donne son point de vue, que de traiter de "gay" quelqu'un qui soutient une manifestation LGBT.
Bref

C'est la sécurité technologique qui est au centre de l'article et du débat.

Que feriez-vous à la place de Tim Cook (après la baisse des prix par 2) ?

Comment conjuguer la sécurité de nos informations en cas de vol/hack et les obligations règlementaires ?
Le tout sans puce T2 et avec des SSD qu'on peut démonter, cela va de soit.

Pour moi, la modularité et réparabilité (autrement -> indépendance) passent avant tout ! Je ne vois strictement aucun intérêt dans la puce T2. Pour Apple c'est très intéressant, ça limite l'utilisation des contrôleurs d'autres fabricants (coût de production plus faible) et verrouille à mort la machine tout en permettant d'imposer des prix exorbitants pour toutes les options de stockage. Pour le reste, il est très simple de crypter les infos sensibles dans un .sparsebundle, sans parler des logiciels spécifiques (gratuits ou pas).

Ce message a été modifié par vlady - 17 Jun 2019, 13:24.

[otto87]

Il y a tout de même une énorme différence entre tracking et hacking. On parle d'une part de la récupération systématique et à grande échelle de nos données, et d'autre part d'un outil spécialisé (et vraisemblablement très onéreux) qui nécessite un accès physique au téléphone.

Au final, c’est bien plus proche que tu ne l'imagines et d'un certain coté, les outils proposés par cette boite sont une très faible menace pour la vie privé! En gros ça donne un accès à ce qui est stocké sur le téléphone et quelques opérations de copie de SIM qui doit faire bien plaisir au détectives privés.Mais au final, ce n'est rien a coté de l'application facebook sur android, par exemple, qui elle, a non seulement accès aux données sur le téléphone, mais peut aussi faire des captures audio/vidéo à l'insu de l'utilisateur!

Ce message a été modifié par otto87 - 17 Jun 2019, 13:22.

[DiarOne]

La crainte est légitime.
Cet outils en plus de tout ce qui a déjà été dit, permettra - s'il est entre de mauvaise mains - de faire repartir à la hausse le vol d'iPhone.
Puisque si nous pouvons récupérer les données, nous pouvons aussi récupérer les codes et mot de passe iCloud de l'appareil volé...

Alors que depuis qlqs temps nous étions "un peu plus tranquille" vis à vis du vol
.

[chammer]

Selon moi, vie privée ne signifie pas que nos données sont totalement inaccessibles, mais plutôt qu'elles sont difficilement accessibles. Il y a donc différents degrés de vie privée selon la difficulté d'accès à nos informations. Et ce n'est pas parce que la sécurité d'un appareil n'est pas infaillibe (elle ne l'est jamais) qu'on ne peut pas prétendre à vouloir protéger le peu d'intimité qu'il nous reste encore.

Il y a tout de même une énorme différence entre tracking et hacking. On parle d'une part de la récupération systématique et à grande échelle de nos données, et d'autre part d'un outil spécialisé (et vraisemblablement très onéreux) qui nécessite un accès physique au téléphone.

Voila qui est parfaitement résumé, merci.

Apple ne "nous bassine pas" avec la sécurité, elle communique qu'elle fait de son mieux dans ce jeu "du chat et de la souris".
Il y avait d'ailleurs du boulot pour eux, plus que pour d'autres. "Ma voix sert de mot de passe", vous vous souvenez ? lol
C'est fini la micro-informatique insouciante offline !

Cellebrite a réussi son coup médiatique.
Qu'une société proposant ce genre de services soit obligée de faire le buzz, ça ne vous intrigue pas ?

En tout cas, tant mieux pour nous.
S'il y a effectivement une faille zero day, Apple va pouvoir et devoir réagir.

[chammer]

Pour moi, la modularité et réparabilité (autrement -> indépendance) passent avant tout ! Je ne vois strictement aucun intérêt dans la puce T2. Pour Apple c'est très intéressant, ça limite l'utilisation des contrôleurs d'autres fabricants (coût de production plus faible) et verrouille à mort la machine tout en permettant d'imposer des prix exorbitants pour toutes les options de stockage. Pour le reste, il est très simple de crypter les infos sensibles dans un .sparsebundle, sans parler des logiciels spécifiques (gratuits ou pas).

La protection du SSD Apple est logicielle et matérielle.
Ce niveau de sécurité est inutile pour la plupart d'entre nous, mais est possible.

Ce stockage sécurisé intégré est aussi effectivement vendu trop cher.
Il faut le réserver au système et données critiques.

Sinon un Mac T2 n'est pas fermé sur l'extérieur quand on baisse la sécurité, bien au contraire.
Ça démarre vraiment depuis tout et n'importe quoi. Mais évidemment sans jamais d'accès au SSD interne.

Il me manque surtout, comme beaucoup ici, une sorte de Macmini "Pro", un boitier plus haut ou additionnel pour bidouiller cartes vidéo et disques.
La solution serait assurément plus sûre et fiable qu'un hackintosh.

[No6]

Effectivement, quand on est capable de hacker, moyennant finances, c'est rare qu'on s'en vante !
Est-ce même légal ?

Ben ou est le probleme ? je ne vois rien d'illégal à se faire de la pub sur un tel sujet ..

et si la question est sur la légalité de casser le cryptage Apple qui est demandé par un juge, je me demande plutôt si ce l'illégalité ne serait pas plutôt du coté d'Apple.

En fait il n'y a aucune loi qui interdise à Apple de crypter ses iPhone, et il n'y a aucune loi qui interdise aux pouvoirs publics d'essayer de les décrypter.

Les états ne renonceront jamais à cette prérogative, ceux qui s'imaginent le contraire sont de gros utopistes

[Lionel]

Pour moi, la modularité et réparabilité (autrement -> indépendance) passent avant tout ! Je ne vois strictement aucun intérêt dans la puce T2. Pour Apple c'est très intéressant, ça limite l'utilisation des contrôleurs d'autres fabricants (coût de production plus faible) et verrouille à mort la machine tout en permettant d'imposer des prix exorbitants pour toutes les options de stockage. Pour le reste, il est très simple de crypter les infos sensibles dans un .sparsebundle, sans parler des logiciels spécifiques (gratuits ou pas).

La protection du SSD Apple est logicielle et matérielle.
Ce niveau de sécurité est inutile pour la plupart d'entre nous, mais est possible.

Ce niveau de sécurité est totalement inutile pour 99% des utilisateurs. Pire, il rend les données inaccessibles en cas de moindre problème sur la carte logique.
C'est toute l'hérésie de ce niveau de sécurité, il oblige à toujours avoir une sauvegarde sur un support non sécurisé à côté.

[linus]

S'il y a effectivement une faille zero day, Apple va pouvoir et devoir réagir.

Cellebrite y gagnera au moins un client ... Apple ! Donc faire le buz est utile http://forum.macbidouille.com/style_images...icons/icon6.gif

[chammer]

Ce niveau de sécurité est totalement inutile pour 99% des utilisateurs. Pire, il rend les données inaccessibles en cas de moindre problème sur la carte logique.
C'est toute l'hérésie de ce niveau de sécurité, il oblige à toujours avoir une sauvegarde sur un support non sécurisé à côté.

Je l'ai écrit comme toi.
Et même que ce n'est pas éco-responsable d'avoir un indice de réparabilité de 1/10 parce que tout est collé et soudé.

L'authenticité (et donc la sécurité) des pièces, le risque terroriste (!) et la diffusion des hacks sont à des niveaux qui imposent cette décision.
Pour la sauvegarde, la décision de scinder le SSD en 5 volumes en ajoutant les rôles DATA et SYSTEM et l'APFS Volume Replication with ASR annoncent la suite.

Ce message a été modifié par chammer - 17 Jun 2019, 15:43.

[malloc]

C'est un tweet *publicitaire* qui concerne Androïd aussi.
Je suis désolé, mais il est inutile d'en faire un article "re-tweet".

Attendons conditions de hack, preuves et analyses.
Et laissons une chance aux équipes de Tim Cook d'y répliquer.

Copie de son discours de Stanford d'hier :

"If we accept as normal and unavoidable that everything in our lives can be aggregated, sold, or even leaked in the event of a hack, then we lose so much more than data.

We lose the freedom to be human.

Think about what’s at stake. Everything you write, everything you say, every topic of curiosity, every stray thought, every impulsive purchase, every moment of frustration or weakness, every gripe or complaint, every secret shared in confidence.

In a world without digital privacy, even if you have done nothing wrong other than think differently, you begin to censor yourself. Not entirely at first. Just a little, bit by bit. To risk less, to hope less, to imagine less, to dare less, to create less, to try less, to talk less, to think less. The chilling effect of digital surveillance is profound, and it touches everything.

What a small, unimaginative world we would end up with. Not entirely at first. Just a little, bit by bit. Ironically, it’s the kind of environment that would have stopped Silicon Valley before it had even gotten started.

We deserve better. You deserve better."

Une fois n'est pas coutume, je vais voir le verre à moitié plein.
Je trouve que c'est une très bonne nouvelle que la liberté individuelle et le secret des conversations soit encore mis en avant comme des valeurs à défendre (sans préjuger de la différence entre les paroles et les actes, ce n'est pas le propos de mon intervention).
Quand on voit le peu de réaction qu'ont eu provoqué, dans l'Hexagone, les successives lois visant à rogner méthodiquement le secret des correspondances (rappel: aujourd'hui les sites que vous visitez et les destinataires de vos conversations SONT surveillés), je trouve qu'il est salutaire de voir que ce n'est pas encore le cas partout.

Quand on voit, en Asie du sud-est, le combat des citoyens pour avoir un peu de liberté de parole et de secret des communications, et l'indifférence que le sujet suscite chez nous, la position de Tim Cook mérite d'être saluée. Et j'espère que l'ensemble de la Silicon Valley va plutôt suivre ce discours que celui de Zuckerberg qui est franchement liberticide dans l'âme (sans parler de Google dont le silence est assourdissant).

[Lionel]

Ce niveau de sécurité est totalement inutile pour 99% des utilisateurs. Pire, il rend les données inaccessibles en cas de moindre problème sur la carte logique.
C'est toute l'hérésie de ce niveau de sécurité, il oblige à toujours avoir une sauvegarde sur un support non sécurisé à côté.

Je l'ai écrit comme toi.
Et même que ce n'est pas éco-responsable d'avoir un indice de réparabilité de 1/10 parce que tout est collé et soudé.

L'authenticité (et donc la sécurité) des pièces, le risque terroriste (!) et la diffusion des hacks sont à des niveaux qui imposent cette décision.
Pour la sauvegarde, la décision de scinder le SSD en 5 volumes en ajoutant les rôles DATA et SYSTEM et l'APFS Volume Replication with ASR annoncent la suite.

Le risque terroriste a bon dos. Je suis certains qu'ils ont tous des MacBook Pro pour se couvrir en cas de capture.

[otto87]

Le risque terroriste a bon dos. Je suis certains qu'ils ont tous des MacBook Pro pour se couvrir en cas de capture.

Dans le cas particulier des derniers attentats, on est typiquement dans des fratries de terroristes... même pas besoin de moyen de communication numérique... C'est ce qui rend compliqué leur détection...