• Point sécu : le « kiosk », arme ultime de la police ? - Rebellyon.info
    https://rebellyon.info/Point-secu-le-kiosk-arme-utlime-de-la-22402

    Si on se fie aux articles sur la question et malgré les quelques nuances apportées ici, il est facile d’en déduire que les forces de l’ordre possèdent désormais l’arme ultime contre les #smartphones. Mais si l’on se penche un peu plus sur les documentations du #kiosk et sur le contexte de son périmètre d’action, on se rend compte que les choses sont bien, bien plus compliquées.

    En effet, ni la page du produit [14] lui-même ni sa fiche technique ne font mention de capacité de « piratage » à proprement parler : cela ne semble donc pas être son but premier. L’appareil se contente avant tout d’extraire des données ; or si le smartphone est paramétré de telle sorte que l’accès aux fichiers par USB est autorisé (ce qui est très courant), il n’est souvent pas nécessaire de recourir à des failles de #sécurité pour obtenir des informations très utiles. En l’occurrence, l’appareil semble avant tout servir à générer des rapports et des visualisations permettant de rapidement évaluer les allées et venues d’une personne, ainsi qu’intégrer ces données dans l’interrogatoire. Par exemple, utiliser les potentielles données de géo-localisation des photos présentes sur l’appareil pour dessiner une carte des lieux fréquemment visités par la personne. Les formations les plus basiques [15] [16] offertes par Cellebrite n’évoquent d’ailleurs que l’aspect récupération et analyse de données de leurs produits, et non la partie sécurité offensive, et les pages marketing en français [17] appuient plus sur l’aspect « respect du processus judiciaire », prétendu pilier de la Justice™, notamment en France. En revanche, la page du logiciel InField [18] fourni avec le Kiosk et déployé sur celui-ci fait bien mention de la possibilité de « désactiver ou contourner le verrouillage mis en place par l’utilisateur ». Cette capacité nécessite néanmoins toujours l’existence de failles de sécurité ou un mauvais paramétrage du smartphone pour fonctionner. Pour rajouter à la confusion, cette même page affirme que le produit est capable de « décoder les données de plus de 1 500 applis mobiles en quelques minutes ». Sauf que l’on parle bien là de « décoder » et non « décrypter », c’est-à-dire simplement de donner sens à des données « brutes » telles que stockées dans les fichiers pour pouvoir les présenter de manière claire dans le rapport : par exemple lister les messages d’une application de discussion instantanée comme Messenger [19].