Déblocage de l’iPhone : le FBI a payé des hackers

Le déblocage de l’iPhone de San Bernardino, auquel Apple a refusé de participer, résulterait d’une faille d’iOS apportée au FBI par des hackers professionnels. Ceux-ci auraient été payés pour leur contribution à l’enquête.

Cellebrite n’y serait pour rien. Même si le nom de la start-up israélienne, spécialisée dans les solutions d’investigation sur les contenus stockés sur les terminaux mobiles, a été cité dans la presse américaine comme étant l’organisation qui a aidé à accéder à l’iPhone que voulait débloquer le FBI, le Washington Post assure qu’il n’en est rien. Le quotidien américain affirme que les enquêteurs américains, à qui Apple refusait son aide pour débloquer un iPhone ayant appartenu à un des auteurs de la tuerie de San Bernardino, ont fait appel à des « hackers professionnels » qui lui ont amené « au moins une faille logicielle inconnue jusqu’à présent ». Les hackers, qui ne sont pas identifiés, ont reçu une somme d’argent pour leur contribution à l’enquête, précisent nos confrères.

Cette vulnérabilité d’iOS aurait été mise à profit pour créer un matériel permettant au FBI de casser le code personnel du terminal, sans déclencher les sécurités mises en place par Apple. Le système iOS intègre en effet des mécanismes pour redémarrer la machine après plusieurs essais infructueux de saisie de code PIN et même pour effacer toutes les données du terminal.

Une faille limitée à l’iPhone 5c ?

Pour le FBI, la difficulté principale résidait précisément dans cet effacement des données du terminal après 10 essais infructueux, une limitation l’empêchant de multiplier les tentatives d’accès. Pour contourner ce point de blocage, le bureau fédéral avait demandé à Apple le développement d’une mise à jour logicielle, que Cupertino est en théorie le seul à pouvoir signer pour qu’elle soit acceptée par ses terminaux ; update qui aurait pu être appliqué sur l’iPhone ciblé, afin de pouvoir enchaîner les essais sans se heurter aux limitations prévues dans iOS. La firme californienne avait refusé de s’exécuter, portant l’affaire sur la place publique. Apple avait expliqué qu’aider les enquêteurs à débloquer l’iPhone 5c en question reviendrait à créer une backdoor affaiblissant la sécurité de l’ensemble de ses utilisateurs.

James Comey_FBI © Brookings Institution — James Comey, directeur du FBI.

Le gouvernement doit maintenant décider s’il informe – ou pas – Apple de la vulnérabilité découverte dans le code d’iOS. Une faille dont personne – hormis les hackers en question et le FBI – ne connait le mécanisme à ce jour. Signalons que le directeur du FBI, James Comey, a assuré que sa portée était limitée aux iPhone 5c sous iOS 9. Reste que rien ne vient aujourd’hui étayer ces déclarations et que le FBI a tout à gagner à ne pas partager sa découverte avec Cupertino. Car, comme l’expliquait James Comey la semaine dernière, si la vulnérabilité est transmise à Apple, « la firme va la combler et tout sera à refaire ».

Sécurité de l’iPhone : pourquoi Apple s’est tiré une balle dans le pied

Lire aussi : Apple fait volte-face sur les PWA : la lettre et l’esprit du DMA ?