L’application de messagerie ultracryptée vient d’annoncer preuve à l’appui, la découverte d’une faille de sécurité compromettante pour la célèbre firme israélienne active dans l’analyse des données. L’humiliation n’est que trop grande pour une entreprise plébiscitée dans le monde entier pour son expertise en cybersécurité.
C’est l’allégorie de l’arroseur arrosé. Il y a quelques mois, Cellebrite se vantait sur son site internet de pouvoir enfin accéder aux contenus de l’application de messagerie Signal du téléphone d’un tiers. Tout en se posant en parangon de la justice et de la lutte contre le crime, l’entreprise israélienne lançait ainsi un appel de pied en direction de ses nombreux clients. Cette annonce commerciale constituait même une révolution. Car, pouvoir accéder aux données de Signal a tout l’air d’une gageure. Fort de son système de chiffrement, l’application de messagerie est réputée très sécurisée, et pour le respect de la vie privée de ses utilisateurs. Cellebrite connue pour son efficacité en matière d’extraction de données des smartphones se réjouissait donc de pouvoir enfin ajouter Signal à son tableau de chasse. Mais c’est oublier la possibilité d’un retour de bâton dans ce milieu de la cybersécurité où les acteurs se rendent coup pour coup.
Une brèche dans Cellebrite
Il ne faudra pas beaucoup de temps pour que Signal se manifeste. Et sa riposte est pour le moins fracassante. À travers un billet de blog publié le 21 avril dernier par un de ses créateurs, Moxie Marlinspike, l’application de messagerie instantanée fait savoir que Cellebrite n’est pas aussi fiable qu’elle veut le faire croire. Pour étayer ce point de vue, le célèbre cryptographe américain publie une vidéo illustrative au titre fort opportunément éloquent. Intitulée, « Mess with the best, die like the rest. Hack the planet » (« Attaque-toi au meilleur, tu mourras comme les autres. Piratez la planète »), elle révèle la présence au sein de Cellebrite, d’une brèche de sécurité susceptible d’être détournée pour corrompre les données ainsi recueillies par le logiciel sur les téléphones. C’est une situation inconfortable pour une entreprise telle que Cellebrite qui a bâti sa renommée dans le déchiffrage de données.
Célèbre pour son système de contournement des mots de passe à toute épreuve sur les téléphones portables, l’entreprise fondée en 1999 par Avi Yablonka, Yaron Baratz et Yuval Aflalo, collabore avec les autorités de plusieurs pays et même les plus autoritaires. Au grand dam des organisations des défenses des libertés qui souhaitent un meilleur encadrement de ses interventions.