Pendant des années, les flics et d’autres autorités gouvernementales du monde entier utilisent la technologie de piratage téléphonique fournie par Cellebrite pour déverrouiller les téléphones et obtenir les données qu’ils contiennent. Et l’entreprise a tenu à garder l’utilisation de sa technologie « chut chut ».
Dans le cadre de l’accord avec les agences gouvernementales, Cellebrite demande aux utilisateurs de garder sa technologie – et le fait qu’ils l’ont utilisée – secrète, a appris TechCrunch. Cette demande concerne des experts juridiques qui soutiennent qu’une technologie puissante comme celle que Cellebrite construit et vend, et comment elle est utilisée par les forces de l’ordre, devrait être publique et examinée.
Dans une vidéo de formation divulguée pour les clients des forces de l’ordre qui a été obtenue par TechCrunch, un employé senior de Cellebrite dit aux clients qu ‘«en fin de compte, vous avez extrait les données, ce sont les données qui résolvent le crime, comment vous êtes entré, essayons de garder cela aussi silencieux que possible.
« Nous ne voulons pas vraiment que des techniques soient divulguées au tribunal par le biais de pratiques de divulgation, ou vous savez, en fin de compte dans le témoignage, lorsque vous êtes assis à la barre, produisant toutes ces preuves et discutant de la façon dont vous êtes entré dans le téléphone », a déclaré l’employé. qui nous ne nommons pas, dit dans la vidéo.
Pour les juristes, ce type de demande est troublant car les autorités doivent être transparentes pour qu’un juge autorise des perquisitions, ou autorise l’utilisation de certaines données et preuves devant un tribunal. Le secret, selon les experts, porte atteinte aux droits des accusés et, en fin de compte, aux droits du public.
« Les résultats que ces produits super secrets crachent sont utilisés devant les tribunaux pour tenter de prouver si quelqu’un est coupable d’un crime », a déclaré Riana Pfefferkorn, chercheuse à l’Observatoire Internet de l’Université de Stanford, à TechCrunch. « L’accusé (que ce soit par l’intermédiaire de ses avocats ou d’un expert) doit avoir la capacité de comprendre pleinement le fonctionnement des appareils Cellebrite, de les examiner et de déterminer s’ils fonctionnaient correctement ou contenaient des défauts qui auraient pu affecter les résultats. »
« Et quiconque témoigne sous serment sur ces produits ne doit pas cacher d’informations importantes qui pourraient aider à disculper un accusé uniquement pour protéger les intérêts commerciaux d’une entreprise », a déclaré Pfefferkorn.
Hanni Fakhoury, un avocat de la défense pénale qui a étudié la technologie de surveillance pendant des années, a déclaré à TechCrunch que « la raison pour laquelle ces informations doivent être divulguées, c’est que la défense doit être en mesure de déterminer ‘il y avait un problème juridique dans la manière dont ces preuves étaient ». obtenu? Ai-je la capacité de contester cela? «
L’employé de Cellebrite affirme dans la vidéo que divulguer l’utilisation de sa technologie pourrait aider les criminels et compliquer la vie des forces de l’ordre.
« Il est très important de garder toutes ces fonctionnalités aussi protégées que possible, car en fin de compte, les fuites peuvent être préjudiciables à l’ensemble de la communauté des forces de l’ordre dans le monde », déclare l’employé de Cellebrite dans la vidéo. « Nous voulons nous assurer que la connaissance généralisée de ces capacités ne se propage pas. Et si les méchants découvrent comment nous entrons dans un appareil, ou que nous sommes capables de décrypter une application de messagerie cryptée particulière, alors qu’ils pourraient passer à quelque chose de beaucoup, beaucoup plus difficile ou impossible à surmonter, nous ne Je ne veux pas ça.
Le porte-parole de Cellebrite, Victor Cooper, a déclaré dans un e-mail à TechCrunch que la société « s’engage à soutenir l’application éthique de la loi. Nos outils sont conçus pour une utilisation légale, dans le plus grand respect de la chaîne de contrôle et du processus judiciaire.
« Nous ne conseillons pas à nos clients d’agir en violation de toute loi, exigence légale ou autre norme médico-légale », a déclaré le porte-parole. « Alors que nous continuons à protéger et à attendre des utilisateurs de nos outils qu’ils respectent nos secrets commerciaux et autres informations exclusives et confidentielles, nous continuons également à développer en permanence notre formation et d’autres documents publiés dans le but d’identifier les déclarations qui pourraient être mal interprétées par les auditeurs, et en ce respect, nous vous remercions d’avoir porté cela à notre attention.
Lorsqu’on lui a demandé si Cellebrite changerait le contenu de sa formation, le porte-parole n’a pas répondu.
L’avocate senior de l’Electronic Frontier Foundation, Saira Hussain, et le technologue senior Cooper Quintin ont déclaré à TechCrunch dans un e-mail que « Cellebrite aide à créer un monde où les pays autoritaires, les groupes criminels et les cybermercenaires sont également capables d’exploiter ces appareils vulnérables et de commettre des crimes. , faire taire l’opposition et envahir la vie privée des gens.
Cellebrite n’est pas la première entreprise à demander à ses clients de garder sa technologie secrète.
Pendant des années, l’entrepreneur gouvernemental Harris Corporation a obligé les forces de l’ordre qui souhaitaient utiliser son outil de surveillance par téléphone portable, connu sous le nom de raies, à signer un accord de non-divulgation qui, dans certains cas, suggérait d’abandonner les affaires plutôt que de divulguer les outils utilisés par les autorités. Ces demandes remontent au milieu des années 2010, mais sont toujours en vigueur aujourd’hui.
Voici la retranscription complète de la vidéo de formation :
Je suis heureux que tu puisses nous rejoindre. Et je suis heureux de lancer ce module initial couvrant la présentation et l’orientation du système pour Cellebrite Premium. Merci et profitez-en.
Saviez-vous que Cellebrite Advanced Services dispose de 10 laboratoires dans neuf pays différents à travers le monde ? Eh bien, afin de tirer parti de toutes ces capacités, nous travaillons ensemble pour vous offrir cette formation, vous entendrez donc des collègues du monde entier. La liste suivante sont ceux qui composent cet ensemble de modules actuel, j’espère que vous apprécierez de les rencontrer chacun.
Avant de commencer, il est très important de passer en revue les problèmes de confidentialité et de sécurité opérationnelle que nous devons respecter en utilisant Cellebrite Premium, non seulement nous-mêmes dans nos propres laboratoires Cellebrite Advanced Services, mais plus particulièrement vous dans vos propres laboratoires à travers le monde.
Eh bien, nous devons reconnaître que cette capacité sauve en fait des vies. Et dans les situations où il est trop tard, nous contribuons à mettre un terme aux familles des victimes et, en fin de compte, à résoudre les crimes et à mettre les gens derrière les barreaux. Il est donc très important de garder toutes ces capacités aussi protégées que possible, car en fin de compte, les fuites peuvent être préjudiciables à l’ensemble de la communauté des forces de l’ordre dans le monde.
De manière un peu plus détaillée, ces capacités qui sont intégrées à Cellebrite Premium sont en fait des secrets commerciaux de Cellebrite, et nous voulons continuer à assurer leur viabilité afin de pouvoir continuer à investir massivement dans la recherche et le développement, afin que nous puissions donner ces capacités aux forces de l’ordre du monde entier. Votre rôle est de vous assurer que ces techniques sont protégées du mieux que vous le pouvez et de les considérer comme «sensibles à l’application de la loi» ou de les classer à un niveau de protection plus élevé dans votre pays ou votre agence.
Et la raison en est que nous voulons nous assurer que la connaissance généralisée de ces capacités ne se propage pas. Et, si les méchants découvrent comment nous entrons dans un appareil, ou que nous sommes capables de décrypter une application de messagerie cryptée particulière, alors qu’ils pourraient passer à quelque chose de beaucoup, beaucoup plus difficile ou impossible à surmonter. ne veux pas ça.
Nous sommes également conscients que les fabricants de téléphones cherchent en permanence à renforcer la sécurité de leurs produits. Et le défi est déjà si difficile qu’il est, mais nous continuons à avoir de très bonnes percées. S’il vous plaît, ne nous rendez pas cela plus difficile qu’il ne l’est déjà.
Et en fin de compte, nous ne voulons pas vraiment que des techniques soient divulguées au tribunal par le biais de pratiques de divulgation, ou vous savez, en fin de compte dans les témoignages, lorsque vous êtes assis à la barre, produisant toutes ces preuves et discutant de la façon dont vous êtes entré dans le téléphone. En fin de compte, vous avez extrait les données, ce sont les données qui résolvent le crime. Comment vous êtes entré, essayons de garder ça aussi silencieux que possible.
Et maintenant, passons à la sécurité opérationnelle ou « opsec ». Cela commence par la protection physique du système premium et de tous ses composants que vous avez reçus dans le kit.
Ces petits morceaux qui rendent toute cette capacité… magique. Ce sont des actifs très sensibles, et nous voulons nous assurer qu’aucune falsification ou autre curiosité ne soit utilisée sur ces appareils. Et dans certains cas, il y a un risque de falsification et de désactivation du composant, et c’est quelque chose que vous ne voulez vraiment pas faire, car cela pourrait empêcher votre agence d’avoir la capacité pendant que vous attendez un remplacement.
De plus, l’exposition de l’une de ces fonctionnalités premium pourrait être très préjudiciable à l’environnement mondial de l’application de la loi. Alors, soyez prudent avec le partage d’informations, que ce soit dans des conversations en face à face, par téléphone, sur des groupes de discussion en ligne, par e-mail – d’autres choses comme ça – essayez simplement de le garder sensible et n’entrez pas dans les détails.
En ce qui concerne la documentation écrite, évidemment, vous ne voulez pas en divulguer trop dans vos rapports judiciaires. Mais mettez définitivement le strict minimum pour s’assurer qu’un profane puisse comprendre les concepts de base de ce qui a été fait.
Mentionnez certainement que vous avez utilisé Premium, vous pouvez mentionner la version, mais n’entrez pas dans les détails de ce que vous avez fait avec le téléphone : soit le manipuler, soit tout ce qui apparaît sur l’interface utilisateur graphique de Premium lui-même.
Et lorsqu’il s’agit d’opérations techniques et de gestion de la qualité au sein de votre organisation, veuillez vous méfier du fait que tout document que vous créez en tant que procédure opérationnelle standard pourrait être visible par un auditeur externe pour ISO 17025 ou d’autres personnes susceptibles d’appliquer une loi sur la liberté d’information. demande auprès de votre agence selon les lois de votre pays.
Alors soyez prudent avec tout ça. Vous devez le protéger au mieux. Et l’autre facteur supplémentaire dont vous n’êtes peut-être pas conscient est que les exploitations défaillantes sur les appareils – s’ils sont capables de se connecter au réseau – pourraient téléphoner à la maison et informer le fabricant que l’appareil est attaqué. Et avec suffisamment de connaissances et d’intelligence, il est possible que les fabricants de téléphones découvrent ce que nous faisons pour réaliser cette magie. Veuillez donc faire de votre mieux pour suivre toutes les instructions et faire de cette procédure la meilleure possible. [sic] aller de l’avant.
Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram and Wire @lorenzofb, ou par e-mail [email protected]. Vous pouvez également contacter TechCrunch via SecureDrop.