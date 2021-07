Cellebrite se présente comme une société de renseignement numérique, mais cette description opaque ne brosse pas un tableau particulièrement clair.

En bref, l’intelligence numérique est un code pour le piratage d’appareils ; Cellebrite aide le gouvernement et les forces de l’ordre à s’introduire dans les smartphones et les ordinateurs portables des personnes faisant l’objet d’une enquête – à condition que le client ait des motifs légaux pour le faire.

La société israélienne a suscité de nombreuses critiques ces dernières années de la part de militants de la confidentialité des données qui disent que ses pratiques ne sont pas éthiques. D’autres ont attaqué l’entreprise pour ne pas avoir divulgué les vulnérabilités actives qu’elle exploite pour s’introduire dans les appareils.

Cependant, Cellebrite est inébranlable dans sa position selon laquelle sa technologie fait bien plus de bien qu’elle ne pourrait faire de mal. Il pointe également des incohérences dans les arguments de ses détracteurs ; il y a peu de critiques sur l’exécution des mandats de perquisition physique, dit le directeur marketing Mark Gambill, alors pourquoi des règles différentes devraient-elles s’appliquer dans la sphère numérique ?

« Nous sommes regroupés avec des sociétés de surveillance, mais ce n’est pas ce que nous faisons. Et vous ne pouvez pas utiliser notre technologie sans mandat légal, donc si elle est utilisée correctement, il n’y a pas de violation de la vie privée », a-t-il déclaré à TechRadar Pro.

« Il existe d’innombrables exemples d’utilisation de notre technologie pour le bien de la société ; pour retrouver des enfants disparus, briser les réseaux de trafic de drogue et plus encore. Mais malheureusement, nous sommes dans un environnement où le sensationnalisme fait vendre.

Cependant, que ce soit intentionnellement ou non, Cellebrite a courtisé un air de mystère qu’elle cherche maintenant à dissiper avant une cotation au Nasdaq qui devrait évaluer la société à 2,4 milliards de dollars. Selon Gambill, Cellebrite n’a rien à cacher.

Légiférer contre les abus

Cellebrite affirme servir environ 6 700 clients dans le monde, dont la grande majorité (environ 5 000) provient du secteur public. Dans ce contexte, les services de l’entreprise se déclinent en trois volets principaux : la collecte de données, l’analyse et l’audit.

Comme l’explique Gambill, les criminels sont devenus extrêmement avertis de l’utilisation de la technologie et, comme on pouvait s’y attendre, sont souvent réticents à offrir leurs appareils déverrouillés. Avec l’approbation légale, le dispositif d’extraction médico-légale universel (UFED) de Cellebrite peut être utilisé pour extraire des données stockées sur des smartphones, des ordinateurs, des montres intelligentes et plus encore, parfois en exploitant des vulnérabilités actives dans les systèmes d’exploitation.

Cellebrite UFED Touch (Crédit image : Cellebrite)

Au niveau logiciel, l’outil Physical Analyzer de Cellebrite aide ensuite les clients à explorer les téraoctets de données souvent stockées sur les appareils grand public aujourd’hui. La société combine une filtration basée sur des mots-clés avec l’intelligence artificielle (IA) pour faire apparaître des informations spécifiques.

Enfin, afin de préserver l’intégrité des preuves, le matériel de Cellebrite est pris en charge par une suite de gestion qui conserve un journal d’activité et une piste d’audit stricts.

“Il est essentiel d’avoir de la transparence sur qui gère les preuves, car il y a des problèmes de confidentialité et de falsification”, a déclaré Gambill. « Notre solution est capable de démontrer précisément qui a accédé à quelles données et à quel moment. »

Encore plus que la plupart des entreprises, Cellebrite a la responsabilité de choisir les clients avec lesquels elle travaille. En effet, Gambill admet qu’il y a eu des cas où ses technologies ont été mal utilisées, bien qu’il ait souligné que celles-ci sont extrêmement rares.

Pour se prémunir contre cette éventualité, Cellebrite a conçu son matériel de telle sorte qu’il ne puisse être utilisé par personne d’autre que les titulaires de licence actifs. Les mises à jour déployées toutes les deux semaines signifient également que le kit Cellebrite obsolète est effectivement inutile, “à moins que vous ne vouliez en faire un pot de fleurs”, a plaisanté Gambill.

Interrogé sur la possibilité qu’un titulaire de licence actuel abuse du matériel à huis clos, il nous a répondu que ce serait « très difficile » sans que Cellebrite ne le découvre. “Il s’agit d’avoir la capacité de surveiller ce qui se passe et, dans les rares situations où quelqu’un devient voyou, de prendre des mesures décisives.”

Kit de câbles et boîtier renforcé Cellebrite (Crédit image : Cellebrite)

Gambill note également que Cellebrite a retiré ses produits d’un certain nombre de pays, dont la Chine et la Russie, qui, selon lui, pourraient utiliser sa technologie de manière contraire à l’éthique ou qui se classent mal dans les indices des droits de l’homme.

Cependant, plusieurs défenseurs de la vie privée, tels que l’organisation à but non lucratif Access Now, affirment que l’entreprise n’est pas allée assez loin pour légiférer contre les violations potentielles des droits humains que son arsenal est capable de faciliter. De plus, ils disent que Cellebrite a été trop lente pour couper les liens avec des clients peu recommandables et n’a pris des mesures que sous la pression du public.

Dans une lettre ouverte récente, Access Now et ses pairs affirment que Cellebrite est depuis longtemps consciente du potentiel d’abus, mais a sciemment continué à vendre ses produits à des régimes répressifs, comme l’Arabie saoudite et le Myanmar (ce que d’anciens employés de Cellebrite ont corroboré). Tant qu’elle n’aura pas « pris des mesures suffisantes pour se conformer aux droits de l’homme », l’entreprise ne devrait pas être autorisée à rendre publique, disent les militants.

Zone grise

À la fin de l’année dernière, Cellebrite s’est fait un ennemi de la société de messagerie Signal. La société avait récemment annoncé la prise en charge des types de fichiers Signal et avait également publié un rapport suggérant qu’elle avait craqué le célèbre cryptage de la plate-forme, mais cela a ensuite été démystifié et qualifié de « gênant ».

Quelques mois plus tard, le PDG de Signal, Moxie Marlinspike, a publié son propre rapport, dans lequel il démontrait les vulnérabilités du matériel Cellebrite. Dans le même article, il a affirmé que l’entreprise “existe dans le gris – où l’image de marque de l’entreprise se joint au voleur pour être appelée” intelligence numérique “”.

Il a également plaisanté en disant qu’il était “prêt à divulguer de manière responsable les vulnérabilités spécifiques que nous connaissons à Cellebrite s’ils font de même pour toutes les vulnérabilités qu’ils utilisent dans leur extraction physique et autres services à leurs fournisseurs respectifs, maintenant et à l’avenir”.

Interrogé sur l’éthique entourant la conservation des vulnérabilités qui pourraient potentiellement être exploitées dans la nature par des tiers malveillants, Gambill nous a donné une réponse indirecte. Il a décrit la relation de l’entreprise avec les fournisseurs d’appareils, comme Apple, comme une relation de « coopétition », un amalgame de coopération et de concurrence.

« Apple est un partenaire clé pour nous à bien des égards. Certes, nous respectons tous le droit des personnes à garantir que leurs téléphones disposent des bons types de sécurité et de cryptage du point de vue de la confidentialité », a-t-il déclaré.

« Dans le même temps, nous avons l’obligation de fournir une technologie et des outils qui facilitent les enquêtes. Les moyens par lesquels nous le faisons font partie de notre sauce secrète.

(Crédit image: Shutterstock / Valery Brozhinsky)

Gambill a expliqué qu’il ne reconnaissait pas de contradiction entre l’attitude de l’entreprise envers la confidentialité et son approche de la divulgation des vulnérabilités, en partie parce qu’elle a des fondements juridiques pour son comportement et en partie parce que la fin justifie les moyens.

“Ce que nous faisons, c’est fournir une technologie que vous ne pouvez utiliser qu’avec un mandat légal et pour moi, cela ne suggère pas d’opérer dans des zones grises – c’est assez simple”, nous a-t-il dit. « Il s’agit en grande partie d’éduquer davantage le marché sur ce que fait exactement notre technologie et les résultats positifs qui en découlent. »

Et pourtant, avant son inscription au Nasdaq, Cellebrite s’efforce de mettre en place un comité autonome conçu pour garantir qu’elle opère toujours dans le respect de la loi et de la manière la plus éthique possible. Ce panel sera composé de personnes n’ayant jamais été associées à l’entreprise, dit Gambill, mais la pleine compétence du nouveau conseil d’administration est toujours en cours d’élaboration.

Selon la perspective, cette décision pourrait être célébrée comme un effort louable pour étouffer les problèmes dans l’œuf avant qu’ils ne surviennent, ou plutôt considérée comme une preuve que l’entreprise est consciente qu’il existe des problèmes éthiques immédiats à résoudre.

En fin de compte, savoir si quelque chose est légal et éthique sont deux questions distinctes, l’une objective et l’autre subjective. Bien que Cellebrite puisse bien fonctionner dans les limites de la loi, le fait qu’elle opère dans les limites de la moralité continuera à alimenter le débat.

Ironiquement, comme l’a noté la chercheuse de Stanford Riana Pfefferkorn, la capacité de l’entreprise à pénétrer dans les appareils pourrait en fait avoir un effet positif net sur la confidentialité. Elle dit que l’entreprise agit comme une sorte de “soupape de sécurité”, soulageant la pression sur les fabricants de smartphones pour créer des portes dérobées dans leurs appareils, ce que beaucoup considéreraient comme un désastre absolu.

Cependant, si cet « équilibre précaire » résiste à l’épreuve du temps, cela dépendra probablement du fait que Cellebrite trouvera un moyen de se rendre plus acceptable pour une communauté technologique de plus en plus bruyante et soucieuse de la confidentialité.

