[le_gremz]

La news qui fait un peu froid dans le dos...
500 commissariats seront bientôt équipés de tools capable d'aspirer le contenu complet de "n'importe quel" smartphone...

La france a passé une grosse commande chez la tristement célèbre entreprise israélienne Cellebrite _{(a ne pas confondre avec Celelibi)}. La capacité du "kiosque" : aspirer les données de 17 000 modèles de téléphones, tablettes ou GPS en une dizaine de minutes.

Oui mais c'est bien pour les enquêteurs, contre les violeurs, les harceleurs, les terroristes, etc...

Oui maiiiiis... En fait non. En gros, vous allez à, par exemple, une manif. La situation dégénère et dans la confusion vous êtes interpellé et emmené au poste. On vous notifie votre mise en garde-à-vue et on vous confisque tout vos effets personnels avant de vous enfermer. Vous choisissez de gardez le silence et d'attendre votre avocat. Et c'est la que ça va changer...

Jusqu’à aujourd'hui si votre téléphone était éteint et avec un pin code, personne ne pouvait fouiller dedans. Votre avocat arrivait, ils faisait son job et vous, innocent, finissiez par sortir, récupérer vos affaires et repartir sans être trop inquiété...

Mais maintenant voila ce qui va se passer, le temps que votre avocat arrive : les policiers brancheront le téléphone sur la boite magique qui en 10 minutes recrachera :
- Messages SMS (supprimés ou non)
- Messages in-app (Snapchat, Facebook ou même Signal et Telegram)
- Photos et vidéos
- Mails
- Historique de navigation internet ou de la géolocalisation
- Historiques de mots de passe
- Carnet d’adresses
- Notes

Et il pourront les consulter librement sans filtre... Voire même vous s'en servir contre vous pour vous pousser à abandonner votre silence avant même l'arrivée de votre avocat...

Ouais c'est archi-moche. De plus ce système pourrait être couplé au fichier de traitement des antécédents judiciaires aka TAJ (un fichier tenu par la police où l’on trouve les personnes mises en cause et les victimes dans les affaires pénales). Je vous laisse imaginer la capacité à remonter les réseaux de personne quels qu'ils soient (Militants, Opposants politique, Amicaux, etc etc)... Pratique pour tracer les réseaux mafieux, terroristes ou criminel mais (car y a un énorme mais), et les dérives possibles ?

Bref, évitez de vous faire embarquer avec votre téléphone sur vous (même éteint) sinon : "All your data are belong to us." - Le gouvernement français.

Source (et plus de détail) : https://www.developpez.com/actu/291079/France-500-commissariats-seront-bientot-equipes-d-un-outil-pour-aspirer-les-donnees-d-un-smartphone-en-10-minutes-des-associations-craignent-des-derives/

[#Z@tox#]

Hello, c'est clair qu'au début un vide juridique permettra le libre accès permettant les dérives ou investigation (tout dépendra du point de vue), mais rapidement la législation, fixera un cadre clair là dessus.

Rappelons nous, à titre d'exemle, à l'origine le téléphone portable était livré avec certains modèles haut de gamme de voitures, aujourd'hui, son utilisation tenue en main en voiture est interdite, il y a eu un vide juridique, des dérives, une législation pour patcher.



[mode vengeance activé] sinon question vengeance, on télécharge un méchant cheval de troyes ou autre bestiole uniquement actif sur windows sur son smartphone android ou apple comme ca quand la police aspire le contenu ....  [/mode Vengeance]

faudrait trouver sinon un moyen d'altérer définitivement la mémoire flash du smartphone, comme on faisait quand on était jeunes avec un gros aimant surpuissant a coté du PC qui permettait de démagnetiser le disque dur a l'arrivée de la police (pas certain que beaucoup aient du en arriver là soit dit en passant).

[Pech]

Salut,

Je serais curieux de savoir comment ils font pour "entrer" dans le smartphone.
Ca me rappelle l'histoire d'il y a quelques temps aux USA où la justice voulait accéder aux infos dans un iPhone et Tim Cook leur a répondu fuck.

Hello, c'est clair qu'au début un vide juridique permettra le libre accès permettant les dérives ou investigation (tout dépendra du point de vue), mais rapidement la législation, fixera un cadre clair là dessus.

Et on l'appellera la loi sur le renseignement #2 ?
[troll mais pas tant que ça] Elle consistera à autoriser ce qui était déjà fait illégalement (mais faut pas le dire). [/troll]

++

[le_gremz]

Je serais curieux de savoir comment ils font pour "entrer" dans le smartphone.
Ca me rappelle l'histoire d'il y a quelques temps aux USA où la justice voulait accéder aux infos dans un iPhone et Tim Cook leur a répondu fuck.

C'est simple. Ils utilisent des 0-day. Ils les achètent ou les trouvent et les utilisent pour exploit les téléphones. L'affaire du FBI et Apple a trouvé sa fin dans le fais que le FBI a demander a Cellebrite de crack le téléphone et qu'ils l'ont fais...

[neibb]

Est ce que tout cela est bien légal?
Le gouvernement a-t-il le droit d'utiliser des 0-days (s'il en utilise) afin de faire ce qu'il veux? (Tiens, ça me donne une idée pour un petit dossier tout ça...)
Ou alors pourrait-il s'agir de contrats afin d'intégrer une bonne grosse backdoor?

Dans tous les cas, la moralité, c'est qu'il faut arrêter d'utiliser tous ces services et apps à la con qui ne servent qu'à l'auto-flicage, et ce, depuis le début. Et que tout le monde est bien d'accord mais que tout le monde s'en fou et continue d'utiliser.
"Ah mais Facebook c'est des méchants, je le sais bien, ils font du recel d'informations! #Jequittefacebookmaistropmdrletruc"

Ou alors on assume totalement le fait de voir jour après jour chacune de ses libertés s'envoler d'un coup d'un seul au nom d'une pseudo-sécurité. (Liberté de vie privée, de libre circulation, liberté de réunion...) Finalement qu'en on y pense,
"Je m'en fou de la vidéo surveillance, j'ai rien à cacher!"
"C'est pas grave les micros en ville, j'ai rien à cacher!"
A ba tiens, mais en fait c'est plus juste en ville, combien de caméra dans nos foyers susceptible d'enregistrer nos moindres gestes? Combien de micros enregistrant la moindre seconde? Même les robots mixeur bordel!
"Attends, mais tu te rends pas bien compte comment Google c'est trop génial! Avant je devais utiliser mon cerveau!"
La donnée utilisateur, c'est la nouvelle drogue à la mode pour tous ces [autocensure]. Et vue que la fin justifie les moyens...

En fait, qu'en on y pense, y'a que la police qui est à la ramasse loin derrière, fallait bien qu'ils trouvent une combine! Comme ça c'est plus simple.
 
Pour en revenir à nos moutons,
Qu'en est-il des partitions chiffrées? Est ce que ça pourrait être une solution envisageable? Dans tous les cas les données de la partition système seraient extraites... Utiliser une version spécifique modifiée d'Android? J'ai vu de vieux articles la dessus, mais qui dataient un peu...

Sinon [mode vengeance aussi], on pourrait monter un petit IEM dans un boîtier de smartphone, charge par USB. Et BAM! Ça c'est du Rock!   [/end mode vengeance]

[Xenos]

Je ne crois pas qu'il y ait le moindre lien entre 0day et illégalité (après, la façon d'obtenir les 0day, c'est autre chose). L'illégalité apparaitrait dans les finalités d'exploitation de la 0day (autrement dit, c'est pas la façon d'accéder aux données qui poserait soucis, mais plus le fait de vouloir y accéder sans autorisation).

Mais, oui, je serait curieux de savoir ce que ce genre de truc donnerait sur des smartphone chiffrés (intégralement, ou juste certaines data intéressantes). Mais bon, après, je pense que c'est comme beaucoup de lois: ça a plein de failles techniques (technilogiques) dont les législateurs se moquent, car 90% des gens n'utiliseront de toute façon pas ces méthodes de chiffrement. L'un des soucis majeurs du téléphone face aux PC et laptops reste quand même (je trouve) la difficulté d'y tapper un mot de passe complexe ou d'y brancher un vault USB pour le déverrouiller... Ca limite vite la complexité de la clef (genre pin... niveau bruteforçage, ça ne tient pas longtemps!)

Bon, après, j'ai l'impression que ce topic est très alarmiste pour rien (pour faire du clic?) car ces systèmes existent déjà et sont déjà utilisés dans "le cadre des perquisitions et des flagrants délits". On est loin de "vous êtes à la manif, je vous arrête et je pompe votre téléphone"

[neibb]

Hello!

Peut-être que ce topic est un peu alarmiste, pourquoi pas, mais la vie privée est un problème à prendre très au sérieux, et ce n'est pas une fois qu'on en sera totalement dénué qu'il faudra s'en inquiéter.
Je ne crois pas que ni la façon d'obtenir un 0day, ni la façon de s'en servir ne puissent justifier une action légale. (Même si dans les faits on voit bien que ça pose pas trop de soucis...)

Par contre voici quelques applis Open-Sources trouvées sur le dépot F-Droid qui peuvent trouver leur utilité.
-OpenContacts qui créer simplement une nouvelle base de données de contacts dans un répertoire séparé de l'original. Les applications peuvent toujours tenter de voir les contacts, ils ne sont simplement plus enregistrés là. No Root needed.
-Fake Traveler et Private Location qui ont l'air l'un l'autre de faire plus ou moins la même chose, il s'agit ici tout simplement de modifier notre position géographique (Ça doit être super pour PokémonGo!  Trop mdr! (no comments...)) Et no-root aussi!
-NetGuard qui bloque tout accès internet, ce qui doit limiter aussi (un peu) notre traçabilité, également no-root.

Un peu moins dans le sujet mais quand même en rapport,
-Silence pour la gestion des SMS car possibilité de chiffrement (mais il faut que la personne en face l'ait aussi donc ça limite un peu). Mais à ce compte là il faudrait arrêter d'utiliser le clavier virtuel fourni par défaut, car contrat de liscence Google (je vous laisse lire la partie sur la collecte de données  ).
-Hacker's Keyboard, qui en plus d'avoir un super nom, (attendez y'a hacker dedans c'est trop la classe), ne nécessite aucune autorisation particulière (je vous laisse comparer vous même), fait tout pareille, et est assez complet finalement.
-AppLock pour la gestion des autorisations.

Bon, on est pas encore tiré d'affaires, mais c'est déjà un début.

[the lsd]

Pour les sms/messages, il y a également Signal qui peut être utilisé. Il a l'avantage dé pouvoir gérer les conversations chiffrées si la personne a Signal en face, ou via SMS classiques dans le cas contraire.

Pour se détacher un peu de l'écosystème android/constructeur, il existe apparemment (pas testé, problème d'android qui ne veut plus installer d'applis ^^') https://www.simplemobiletools.com/ C'est un mec qui fait ça dans son coin, open source et gratuit à la base. Il a commencé à mettre en payant pour gagner un peu sa vie.
Je ne sais pas ce que ça vaut niveau sécu/vie privée, mais le coté open source me plait bien.

Enjoy

The lsd

[cerveza]

Le problème de Signal est que si l'investigateur à un accès root au téléphone, il peut récupérer le contenu de Signal avec les clés pour déchiffrer le contenu (par contre, ça protège normalment des IMSI catcher).

Concernant la possibilité d'un accès root, il suffit de regarder un peu ce que propose la société (et notamment dans les offres d'emplois) afin de voir ce qu'ils font : https://www.cellebrite.com/en/about/careers/positions/?comeet_cat=other&comeet_pos=94.615&comeet_all=all&rd

Vulnerability research experience, preferably in embedded envs
ARM / TrustZone RE
Cryptographic primitives and weaknesses
Advanced fuzzing
Hardware research / board design
Use Tor. Use Signal.™

[Ouroboros]

Ah bah je sais ce quil me reste faire pour bypasser le vip programing de mon OppoA72.