Doit-on craindre les capacités de la police à craquer un chiffrement ?
Vers mi-février, Europol, une agence européenne de police criminelle qui facilite l'échange de renseignements entre polices nationales en matière de crime organisé et de stupéfiants, a déclaré avoir réussi à casser le chiffrement de l'application de messagerie Sky ECC, conçue et développée par l'entreprise du même nom. « Dans le cadre d'une enquête judiciaire sur une potentielle organisation criminelle de service soupçonnée de fournir sciemment des téléphones chiffrés au milieu criminel, les experts de la police ont réussi à craquer les messages chiffrés de Sky ECC », a indiqué un communiqué de l'agence.
« Ces données fournissent des éléments dans les dossiers en cours, mais ont également ouvert de nouvelles infractions pénales. La contrebande internationale de lots de cocaïne occupe une place prépondérante dans les rapports interceptés ». Pour mémoire, Sky ECC est une application de messagerie chiffrée de bout en bout par abonnement, créée par Sky ECC et intégrée à des téléphones Google, Apple, Nokia et BlackBerry dépourvus de GPS, de caméras et de microphones. L'idée est de pouvoir discuter par texte avec d'autres utilisateurs sans craindre d'être espionné.
Quelques jours plus tard, la police belge a déclaré séparément qu'elle a envahi 200 sites et arrêté 48 personnes. Deux de ces personnes sont soupçonnées d'être des policiers corrompus de la police d'Anvers. Elle n'a pas manqué d'ajouter que ce sont les informations issues du piratage de Sky ECC qui lui ont permis de procéder à ces arrestations. Alors, Sky Global s'est-il rendu coupable d'un crime ? L'on pourrait être amené à le penser en lisant le communiqué d'Europol et les États-Unis sont du même avis. En effet, en mars, le gouvernement américain a inculpé le PDG de Sky ECC, Jean-François Eap, ainsi qu'un distributeur.
Les États-Unis l'accusent « d'avoir sciemment et intentionnellement participé à une entreprise criminelle qui a facilité l'importation et la distribution transnationales de stupéfiants par la vente et le service de dispositifs de communication chiffrés ». Cela sous-entend-il que vendre des appareils permettant une communication chiffrée est désormais considéré comme un crime ? En sus, l'Oncle Sam prétend que Sky ECC savait exactement à quoi servait son logiciel : organiser le trafic de stupéfiants à l'abri des regards des autorités. Notons aussi que le pays s'est déjà "révolté" à plusieurs reprises contre le chiffrement de bout en bout.
Sky Global dément le piratage et dit que son application a été clonée
Sky Global se présente comme la « plateforme de messagerie la plus sécurisée que vous puissiez acheter » et compte environ 170 000 utilisateurs dans le monde. En réponse à des articles publiés dans la presse néerlandaise et belge, il a fait savoir au public que toutes les allégations selon lesquelles les autorités policières ont réussi à craquer ou pirater le logiciel de communication chiffré SKY ECC sont fausses. « SKY ECC est construit sur des principes de sécurité zero-trust qui considère chaque demande comme une violation et la vérifie en employant des couches de sécurité pour protéger les messages de ses utilisateurs », a déclaré l'entreprise.
Au lieu de cela, la société a expliqué que la police ou quelqu'un d'autre a créé une fausse version de son application de communication, l'a chargée sur des téléphones, puis a vendu ces téléphones par des "canaux non autorisés". « Les distributeurs agréés de SKY ECC en Belgique et aux Pays-Bas ont attiré notre attention sur le fait qu'une fausse application de phishing, faussement appelée SKY ECC, a été illégalement créée, modifiée et chargée sur des appareils non sécurisés. Les fonctions de sécurité des téléphones SKY ECC autorisés ont été éliminées dans ces faux appareils qui ont ensuite été vendus par des canaux non autorisés ».
Ensuite, apparemment, les forces de l'ordre ont été en mesure d'observer une activité criminelle sur ces appareils compromis, ce qui leur a permis de procéder aux arrestations annoncées mardi. Dans un communiqué publié sur son site Web, Sky Global a déclaré qu'il n'a pas été contacté par les autorités chargées de l'enquête et n'a pas collaboré avec elles. « Sky ECC n'a été contacté par aucune autorité d'investigation. SKY ECC n'a ni autorisé ni coopéré avec les autorités d'investigation ou les personnes impliquées dans la distribution de la fausse application de phishing », a-t-il déclaré.
« Ces actions sont malveillantes et Sky ECC enquête activement et poursuit les individus incriminés pour usurpation d'identité, contrefaçon, mensonge préjudiciable, violation de marque, diffamation et fraude », a-t-elle ajouté.
Qui dit la vérité entre les deux acteurs ? Voici l'analyse d'un expert
Chiffrement brisé ? Selon un expert en cybersécurité, si l'on y réfléchit bien, il existe des scénarios dans lesquels les deux affirmations (celle de Sky ECC et de la police belge) pourraient être vraies. « Peut-être que la police parle d'analyser des métadonnées non chiffrées, ou qu'elle avait accès à un nombre limité de clés de déchiffrement. Ou peut-être que quelqu'un de l'intérieur leur a fourni des informations », a-t-il déclaré. Cependant, il estime que ces hypothèses disparaissent lorsqu’on lit la déclaration d'Europol en se focalisant sur la portion de phrase « En réussissant à briser le chiffrement de Sky ECC ».
Alors, à qui peut-on faire confiance ? Selon lui, c'est une question importante dans de nombreux domaines liés à la sécurité et à la vie privée, mais à laquelle il faut toujours répondre en se mettant du côté de la police. « C'est peut-être la façon dont j'ai été élevé, mais j'ai tendance à faire confiance à la police dans ces genres de situations ou domaines, même si toutes les forces de police ne sont pas équipées pour faire face aux cybercrimes modernes », a-t-il déclaré. Il a jouté que, bien sûr, il est possible que le rédacteur de la déclaration d'Europol ait commis une erreur.
Il estime également qu'il est possible que le "brisement du chiffrement de Sky ECC" soit une fausse piste délibérée pour protéger une autre source. Toutefois, il a déclaré qu'en raison du fait que la police n'en est pas à sa première réussite (le cas d'Encrochat, par exemple), il serait mieux d'accorder du crédit au fait qu'elle a pu déjouer le chiffrement de l'application de messagerie chiffrée Sky ECC. « Mais je ne peux ignorer qu'Europol et Eurojust (Agence de l'Union européenne pour la coopération en matière de justice pénale) ont d'excellents antécédents dans ce domaine », a-t-il déclaré.
« SKY ECC, quant à elle, a toutes les raisons de nier avoir été victime d'une violation. La preuve qu'elle l'a été pourrait s'avérer destructrice pour une entreprise dont les clients font confiance à ses équipements et services », a-t-il fait remarquer. Par ailleurs, il continue en disant qu'il existe une troisième possibilité, notamment celle évoquée dans la déclaration de SKY ECC : la copie de l'application Sky ECC pour servir de leurre et piéger les criminels.
« Si la police a piraté, ou même créé, un faux appareil non sécurisé qu'elle peut surveiller, un appareil qui fait croire aux criminels potentiels qu'ils ont le vrai appareil, alors il est possible que les deux parties disent au moins une partie de la vérité », a-t-il conclu.
Et vous ?
Quel est votre avis sur le sujet ?
Selon vous, la police a-t-elle réussi à craquer Sky ECC ?
Pensez-vous qu'offrir ce genre de service soit un crime ?
Voir aussi
Le piratage supposé du service de messagerie chiffrée Sky ECC a porté un coup majeur au crime organisé, cela a permis à la police belge de procéder à plusieurs arrestations à l'échelle du pays
Les autorités ont piraté les téléphones d'EncroChat, un réseau téléphonique chiffré utilisé par les criminels, pour accéder aux données chiffrées, et procéder à des arrestations à travers l'Europe
Un logiciel malveillant de la police française permet de récolter des messages, des mots de passe, des GPS et bien plus sur les dispositifs du service de télécommunication chiffré Encrochat
USA : les forces de l'ordre ont fait appel à Google plusieurs fois pour identifier les personnes qui étaient proches d'une scène de crime à une période donnée