Articles

Les fichiers divulgués montrent à quoi ressemble un rapport d’extraction téléphonique Cellebrite

On octobre 27, 2021 by

(Image : photo d’archive)

Plus tôt cette année, nous avons reçu une série de gros fichiers cryptés appartenant prétendument à un département de police américain à la suite d’une fuite dans un cabinet d’avocats, qui synchronisait de manière non sécurisée ses systèmes de sauvegarde sur Internet sans mot de passe.

La société de criminalistique numérique est spécialisée dans l’aide à la police pour arrêter les méchants grâce à son éventail de technologies. Elle a atteint la célébrité plus tôt cette année lorsqu’elle a été épinglée à tort comme la société qui a aidé à déverrouiller l’iPhone du tireur de San Bernardino, le même téléphone qui a embarqué Apple dans un brouhaha juridique avec le FBI.

Cela ne veut pas dire que Cellebrite n’aurait pas pu aider.

Le travail de Cellebrite est en grande partie secret, et la société se balance sur une ligne fine entre la divulgation de ses capacités pour susciter des affaires et s’assurer que seuls les « bons » ont accès à sa technologie.

La police américaine aurait dépensé des millions pour ce type de technologie de piratage de téléphone. Et ce n’est pas surprenant, car Cellebrite obtient des résultats.

La société de criminalistique affirme pouvoir télécharger presque chaque lambeau de données de presque n’importe quel appareil pour le compte des agences de renseignement de la police dans plus de cent pays. Elle le fait en prenant un téléphone saisi par la police, puis en le branchant et en extrayant les messages, les appels téléphoniques, les messages vocaux, les images et plus encore de l’appareil en utilisant sa propre technologie propriétaire.

Elle génère ensuite un rapport d’extraction, permettant aux enquêteurs de voir d’un coup d’œil où une personne était, à qui elle parlait et quand.

Nous avons obtenu un certain nombre de ces soi-disant rapports d’extraction.

L’un des rapports les plus intéressants, et de loin, provenait d’un iPhone 5 fonctionnant sous iOS 8. Le propriétaire du téléphone n’a pas utilisé de code d’accès, ce qui signifie que le téléphone était entièrement non crypté.

Voici tout ce qui était stocké sur cet iPhone 5, y compris certains contenus supprimés.

(L’iOS 8 d’Apple a été la première version logicielle de l’iPhone à être livrée avec un cryptage basé sur un code d’accès. Cela aurait été suffisant pour contrecarrer le voleur de téléphone moyen, mais cela n’aurait peut-être pas gêné certains craqueurs de téléphone disposant du bon matériel. Cellebrite affirme qu’elle ne peut pas craquer les codes de passe sur l’iPhone 4s et les modèles ultérieurs. Les téléphones iPhone 5s et ultérieurs sont équipés d’un coprocesseur d’enclave sécurisée sur la puce du processeur principal de l’iPhone 5s, ce qui rend le piratage du téléphone beaucoup plus difficile.)

Le téléphone a été branché sur un dispositif UFED de Cellebrite, qui dans ce cas était un ordinateur dédié dans le département de police. Le policier a effectué une extraction logique, qui télécharge ce qui se trouve dans la mémoire du téléphone à ce moment-là. (Motherboard a plus d’informations sur la façon dont le processus d’extraction de Cellebrite fonctionne.)

Dans certains cas, il contenait également des données que l’utilisateur avait récemment supprimées.

À notre connaissance, il existe quelques rapports d’échantillons flottant sur le Web, mais il est rare de voir un exemple réel de la quantité de données qui peut être siphonnée d’un appareil assez moderne.

Nous publions quelques bribes du rapport, avec des informations sensibles ou identifiables expurgées.

Couverture avant : la première page du rapport comprend le numéro de dossier des forces de l’ordre, le nom de l’examinateur et le département. Elle contient également des informations d’identification uniques de l’appareil.

Informations sur l’appareil:

Informations sur l’appareil : Le rapport détaille à qui appartient le téléphone, notamment le numéro de téléphone, l’identifiant Apple enregistré et les identifiants uniques, tels que le numéro IMEI de l’appareil.

Plugins du logiciel d’extraction:

Plugins : Cette partie décrit le fonctionnement du logiciel et ce qu’il fait. Il comprend l’extraction de métadonnées Quicktime et la génération d’analyses. Le logiciel peut également croiser les données de l’appareil pour établir des profils à travers les contacts, les SMS et d’autres communications.

Lieux:

Lieux : le logiciel d’extraction enregistre la géolocalisation de chaque photo prise et la visualise sur une carte, ce qui permet à l’enquêteur de voir partout où le propriétaire du téléphone s’est rendu et quand.

Messages:

Messages : Dans cette vue « conversation », un enquêteur peut voir tous les messages texte dans l’ordre chronologique, ce qui lui permet de voir exactement ce qui a été dit dans une période de temps donnée.

Comptes d’utilisateur:

Comptes d’utilisateur : cette partie révèle les comptes d’utilisateur du propriétaire du téléphone, selon le nombre d’applications installées. Dans ce cas, seuls un nom d’utilisateur et un mot de passe pour Instagram ont été collectés.

Réseaux sans fil :

Réseaux sans fil : le logiciel d’extraction télécharge une liste de tous les réseaux sans fil auxquels le téléphone s’est connecté, y compris leur type de cryptage et l’adresse MAC du routeur du réseau, ainsi que la date de la dernière connexion du téléphone au réseau.

Journal des appels:

Journal des appels : Ce rapport contient une liste complète des enregistrements d’appels, y compris le type d’appel (entrant ou sortant), l’heure, la date et le numéro de téléphone de l’appel, ainsi que la durée de l’appel. Ce type d’information est très utile lorsqu’il est collecté par les agences de renseignement.

Contacts:

Contacts : Les contacts du téléphone sont aspirés par le logiciel d’extraction, y compris les noms, les numéros de téléphone et d’autres informations de contact, comme les adresses électroniques. Même le contenu supprimé peut être collecté.

Applications installées:

Applications installées : Toutes les apps installées, leur version et les paramètres de permission sont enregistrés par le logiciel d’extraction.

Notes:

Notes : Toutes les données écrites dans l’application Notes sont également téléchargées. Ici, nous avons expurgé ce qui semble être des informations de compte bancaire.

Messagerie vocale:

Messagerie vocale : les messages vocaux stockés sur le téléphone sont collectables et téléchargés sous forme de fichiers audio. On y trouve également le numéro de téléphone de la personne qui a laissé le message vocal et sa durée.

Configurations et bases de données

Configurations et bases de données : les listes de propriétés (« plist ») stockent les données des apps sur les iPhones. Ces fichiers individuels contiennent une multitude d’informations, telles que les configurations, les paramètres, les options et autres fichiers cache.

Analyse d’activité :

Analyse d’activité : pour chaque numéro de téléphone, le moteur d’analyse calcule le nombre d’actions associées qui ont eu lieu, comme des messages texte ou des appels.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.