Menu

Catégorie : Cyber

Cellebrite en 2025 : Android cède, GrapheneOS résiste

Le monde de l’investigation numérique est en constante évolution, et Cellebrite y occupe une place de choix. Cette société israélienne, connue pour son logiciel phare UFED (Universal Forensic Extraction Device), fournit aux forces de l’ordre des outils capables d’extraire tout un éventail de données depuis un smartphone – qu’il soit verrouillé ou non. En France comme ailleurs, c’est l’un des dispositifs les plus employés par la police judiciaire. Il reste cependant rare d’avoir accès à la documentation technique interne de Cellebrite, détaillant ses capacités réelles face aux multiples verrous et mises à jour d’Android. Le 16 mars 2025, l’Osservatorio Nessuno a publié un document inédit : les matrices de compatibilité de l’outil Cellebrite (v7.73.1) pour Android, datées de février 2025. Ces tableaux, d’ordinaire confidentiels, sont un précieux révélateur pour mesurer ce que Cellebrite parvient vraiment à déverrouiller ou non. Polyope propose d’ailleurs un rapport d’analyse de ces matrices, disponible à ce lien, afin d’expliquer plus en détail les stratégies d’accès de Cellebrite. Il contient une liste indicative des smartphones vulnérables équipés d’Android. Une large vulnérabilité pour la majorité des smartphones Android Selon ces matrices, la majorité des modèles Android, toutes marques confondues, s’avèrent largement accessibles aux outils de Cellebrite. Qu’il s’agisse de Samsung, Xiaomi, Huawei, Motorola ou LG, un seul critère suffit généralement : l’appareil doit être en mode AFU (After First Unlock), c’est-à-dire avoir été déverrouillé au moins une fois depuis son démarrage. Dans ce contexte, même le chiffrement natif d’Android et les systèmes de verrouillage les plus récents peuvent être contournés, car la clé de déchiffrement se retrouve temporairement en mémoire vive. BFU, AFU : deux états qui changent tout • BFU (Before First Unlock) : si le téléphone vient d’être allumé ou redémarré, sans qu’aucun code n’ait été saisi, les clés de chiffrement restent inaccessibles dans une zone sécurisée. Les tentatives de Cellebrite peinent alors à extraire des données sensibles. • AFU (After First Unlock) : dès que l’utilisateur entre son code une première fois, la clé de déchiffrement est « chargée » pour fluidifier l’accès aux données. C’est cet état qui ouvre grand la porte à l’extraction des données chiffrées : Cellebrite peut alors fouiller contacts, messages, applications et fichiers supprimés. Ainsi, un simple déverrouillage effectué par négligence, même un temps limité, peut suffire à laisser l’outil pour récupérer l’essentiel du contenu du téléphone. Le rôle déterminant du chipset, même sous Android 14 ou 15 On pourrait croire que les récentes versions d’Android (14, 15) corrigent ces vulnérabilités, mais la situation est plus subtile. L’analyse de ces récentes matrices de compatibilité montrent que l’efficacité de Cellebrite dépend davantage de la puissance de la puce de sécurité intégrée au téléphone : • Les modèles d’entrée ou milieu de gamme, dotés de chipsets plus anciens ou moins robustes, restent parfois exposés en BFU. • Les terminaux haut de gamme, équipés de puces Qualcomm Snapdragon récentes ou du Google Tensor, intègrent un environnement matériel sécurisé (TPM, Titan M, etc.) compliquant l’accès non autorisé. Malgré tout, passer en AFU rend à nouveau ces protections bien moins efficaces : avec la clé de chiffrement en mémoire, Cellebrite retrouve sa redoutable capacité d’extraction. Des données chiffrées, mais toujours à portée Pourquoi un chiffrement apparemment solide ne suffit-il pas ? Android chiffre bien les données en interne, mais ce chiffrement repose sur une clé qui doit être immédiatement disponible dès que l’utilisateur veut accéder à ses applications. Tant que la clé réside en mémoire (mode AFU), un outil forensic performant peut en tirer parti. Les tableaux divulgués dévoilent à quel point ce mécanisme rend la plupart des données (SMS, messageries, historiques de navigation, etc.) vulnérables, même sur les appareils récents. Google Pixel : la première ligne de défense Parmi les exceptions notables, on trouve les Google Pixel à partir de la sixième génération. En cause, l’ajout de composants matériels dédiés à la sécurité (Titan M, Titan M2) qui stockent et protègent les clés cryptographiques dans un environnement isolé. Les attaques en BFU échouent quasiment toujours sur ces modèles, et l’extraction en AFU est plus ardue que sur la plupart des autres smartphones du marché. Éteindre et rallumer régulièrement son Pixel reste donc, en pratique, un moyen efficace de compliquer la tâche, d’autant plus que les Pixels intègrent nativement une fonction automatique de passage en mode BFU à intervalles rapprochés, à l’instar des iPhones d’Apple.  GrapheneOS : un bastion quasi imprenable Basé sur Android mais spécialement durci, la distribution GrapheneOS n’est officiellement compatible qu’avec les Google Pixel. Ce système d’exploitation embarque diverses mesures qui le rendent encore plus imperméable à l’investigation numérique classique : • Rétrogradation automatique de l’appareil en BFU après un certain délai d’inactivité, • Blocage matériel du port USB dès que l’écran est verrouillé, • Stockage matériel sécurisé couplé à des mises à jour fréquentes. Les matrices de Cellebrite indiquent qu’aucune méthode « prête à l’emploi » ne permet de contourner GrapheneOS si ce dernier est à jour depuis fin 2022. Les manœuvres forensiques butent sur cette combinaison d’obstacles matériels et logiciels, limitant l’extraction des données même en AFU. Ces révélations s’inscrivent dans la continuité d’autres fuites de documents internes de Cellebrite (Voir article Next.ink à ce sujet). Ces éléments confirment, entre autres, que les Pixel équipés de GrapheneOS repoussent les exploits BFU et AFU mis en avant par l’éditeur israélien. À l’inverse, les smartphones Android « classiques » — qu’ils soient haut de gamme ou non — restent exposés, du moins dès lors qu’ils ont été déverrouillés au moins une fois. Les implémentations Android dites « standard » conservent plusieurs points de vulnérabilité liés à des failles dans le bootloader ou à des failles logicielles non corrigées. GrapheneOS, lui, renforce l’intégrité du système en durcissant le noyau, la gestion des permissions et l’isolation du chiffrement dans la puce Titan M2. Conclusion : quels choix pour la sécurité ? Les matrices publiés par l’Osservatorio Nessuno démontrent que l’immense majorité des terminaux Android restent largement vulnérables, dès lors qu’ils sont en mode AFU et que leurs clés de chiffrement se trouvent en

Pegasus : des journalistes serbes ciblés via Viber

viber pegasus serbie 2025

Nouvelles révélations en Serbie Le 14 février 2025, deux journalistes de BIRN ont reçu, sur Viber, un message suspect en langue serbe provenant d’un numéro lié à Telekom Srbija, l’opérateur public de télécommunication. L’apparente banalité du texte – qui renvoyait prétendument à un article d’actualité – cachait en réalité un lien malveillant pointant vers l’infrastructure Pegasus de NSO Group. Le Security Lab d’Amnesty International, contacté dès les premières suspicions, a confirmé la tentative d’infection : « Nous avons découvert que les messages contenaient des liens hypertextes vers un nom de domaine en langue serbe dont nous avons déterminé, avec un haut degré de certitude, qu’il était lié au logiciel espion Pegasus. » Selon BIRN, cette offensive numérique cible des journalistes travaillant sur des sujets sensibles tels que la corruption ou des investissements étrangers entachés d’irrégularités. Les reporters Jelena Veljkovic et Bogdana (nom d’emprunt) ont expliqué avoir supprimé immédiatement ces messages, évitant de cliquer sur le lien. Un excellent réflexe. Toutefois, cet incident rappelle que Pegasus n’a pas disparu de la scène et continue d’être l’arme de prédilection pour espionner des acteurs de la société civile. Un vecteur d’infection via Viber En Serbie, l’application Viber est l’une des messageries les plus utilisées pour des communications personnelles et professionnelles. En ciblant cette plateforme, la campagne d’infection s’appuie sur la confiance (voire la familiarité) que les usagers accordent à leurs contacts. Un clic imprudent sur un lien piégé peut ouvrir la porte à l’exfiltration de données sensibles, à l’activation du micro ou de la caméra et à la surveillance en temps réel de l’utilisateur. Les capacités intrusives de Pegasus sont désormais bien connues de tous. Jelena Veljkovic résume le sentiment général : « Il s’agissait d’une attaque ciblée contre des journalistes d’investigation – une forme de pression et un avertissement. » Techniques d’infection de Pegasus via les messageries chiffrées Pegasus, développé par NSO Group, s’est imposé comme l’un des logiciels espions les plus sophistiqués de l’ère numérique, capable de s’introduire dans un smartphone sans forcément laisser de traces évidentes. Plusieurs mécanismes lui permettent de s’implanter via des messageries chiffrées comme WhatsApp, Telegram ou, récemment, Viber :– Les attaques « zero-click », où l’infection s’opère sans qu’aucune action ne soit requise de la part de l’utilisateur. Il suffit parfois d’un appel manqué ou d’un message silencieux pour exploiter une faille non corrigée.– Les vulnérabilités zero-day, qui profitent de failles inconnues dans des applications réputées sûres (WhatsApp, iMessage, etc.). On se souvient qu’en 2019, Pegasus aurait pu pirater plus d’un millier de téléphones via un simple faux appel WhatsApp.– Le « spear phishing », méthode plus classique mais toujours efficace : un lien piégé transmis via SMS ou messagerie, sur lequel la cible est incitée à cliquer.– L’injection réseau, qui nécessite de surveiller le trafic Internet de la cible pour rediriger sa navigation vers un site piégé. Un climat de surveillance persistant La tentative de février 2025 n’est pas la première attaque Pegasus visant des membres de la société civile serbe. Deux précédents cas, en 2023, avaient déjà inquiété les organisations de défense des droits humains. Amnesty International, Access Now, la Fondation SHARE et Citizen Lab avaient révélé des infections « zero-click » cherchant à faire taire des militants et des journalistes engagés. Cette récurrence suscite des interrogations sur le rôle des autorités. NSO Group affirme ne fournir Pegasus qu’à des « clients gouvernementaux soigneusement contrôlés », tandis qu’Amnesty International estime que les agressions numériques constatées en Serbie sont vraisemblablement pilotées par un acteur étatique. Faute de réponses de l’Agence serbe de sécurité de l’information, les soupçons de surveillance illégale à l’encontre des journalistes se renforcent. NSO Group après le scandale Pegasus Depuis 2021, la réputation de NSO Group a été mise à mal par les révélations du « Projet Pegasus », qui ont démontré l’ampleur de l’espionnage orchestré à l’échelle mondiale contre des personnalités politiques, des militants et des journalistes. Malgré des sanctions internationales et des difficultés financières, l’entreprise continue d’exister et, comme le démontre le cas serbe, son logiciel espion demeure actif sur le terrain. NSO Group a pourtant fait l’objet d’actions en justice, notamment par WhatsApp et Apple, pour avoir exploité des failles dans leurs solutions et surveillé illégalement des utilisateurs. Une pression constante sur les journalistes Le BIRN, lauréat de nombreux prix pour ses investigations, n’est pas un cas isolé. Les journalistes d’investigation sont régulièrement visés par des manœuvres d’intimidation, de harcèlement en ligne ou de surveillance abusive, surtout quand ils s’attaquent à des dossiers de corruption au plus haut niveau. « C’est un sentiment très perturbant », confie Bogdana, qui craignait que ses sources n’encourent des représailles pour avoir communiqué avec elle. De leur côté, les organisations de défense des droits humains réclament non seulement un moratoire immédiat sur l’utilisation de ce type de spyware, mais aussi un véritable cadre légal sanctionnant les abus et protégeant les victimes. Amnesty International souligne qu’à l’heure où des manifestations étudiantes se poursuivent en Serbie, l’usage de Pegasus pourrait intensifier les pressions sur les mouvements de contestation. En guise de prévention, il est conseillé d’adopter des pratiques numériques plus sûres (mises à jour fréquentes, prudence face aux liens suspects, usage d’outils de détection spécialisés). Et pour ceux qui souhaitent en apprendre plus sur le fonctionnement des logiciels espions, je vous recommande ma vidéo sur ma chaîne Youtube « Christophe Boutry » : https://youtu.be/n30v5vzED-Q?si=GyR4DS_pp-w9vawg

Cloudflare : une faille permet de désanonymiser les utilisateurs de Signal, Discord et Twitter

Dans un récent post sur GitHub, la plateforme de référence pour les développeurs et les chercheurs en sécurité, un utilisateur (hackermondev) se présentant sous le nom de « Daniel » — un lycéen de 15 ans en classe de première — affirme avoir découvert une vulnérabilité inédite. Cette brèche permettrait de déterminer la localisation approximative (dans un rayon de 100 à 200 km) des utilisateurs de plusieurs applications populaires, dont Signal, Discord et Twitter/X. Selon lui, cette attaque dite « sans interaction » (ou 0-click) offrirait à un éventuel attaquant le moyen de cibler et de surveiller un individu de manière nettement plus simple qu’on ne l’imagine. Le talon d’Achille des CDN Pour comprendre comment Daniel a mis au jour cette faille, il faut revenir au rôle des systèmes de cache, les Content Delivery Networks (CDN). Des réseaux mondiaux conçus pour accélérer l’affichage des contenus web. Cloudflare, l’un des plus grands CDN au monde, copie des fichiers (images, vidéos, etc.) sur des serveurs répartis dans le monde (330 répartis dans plus de 120 pays) afin que l’utilisateur accède toujours au centre de données le plus proche. Le hic : dans la réponse envoyée au navigateur ou à l’application, Cloudflare glisse des métadonnées sur le centre qui a traité la requête. Parmi ces informations, on trouve cf-cache-status et cf-ray. Ce dernier inclut un code de localisation basé sur l’aéroport le plus proche du datacenter ayant traité la requête (par exemple, IAD pour Washington Dulles ou CDG pour Paris Charles de Gaulle). L’étincelle de Daniel a été de se demander si, en déterminant précisément quel datacenter gérait la requête, il était possible d’en déduire la position de l’utilisateur. La réponse : oui.   Comment cette faille est exploitée ? Daniel a d’abord développé un outil appelé Cloudflare Teleport, permettant de cibler des centres de données précis. Même si Cloudflare a réagi en comblant la brèche initiale, il a ensuite contourné le problème grâce à des VPN à localisations multiples, qui lui permettent de tester différents centres Cloudflare à travers le monde. Le scénario d’attaque est simple : Signal pointé du doigt Si Discord et Twitter/X sont également concernés, c’est le cas de Signal qui suscite le plus d’inquiétudes. L’application de messagerie chiffrée, prisée des journalistes et des défenseurs des droits humains, fait appel à deux CDN : Amazon CloudFront pour les images de profil et Cloudflare pour les pièces jointes. C’est cette seconde intégration qui ouvre la porte à la faille. Pire, Daniel souligne qu’avec le réglage par défaut de Signal, une simple notification push suffit à déclencher le téléchargement de l’image et, de fait, la mise en cache dans un centre de données local. La cible n’a même pas besoin d’interagir. De la simple indiscrétion au traçage organisé On pourrait se dire qu’une précision de 100 à 200 km n’est pas critique, mais dans bien des situations, cela suffit amplement. Des agences gouvernementales peuvent ainsi déterminer une zone de recherche pour un utilisateur et croiser ces données avec d’autres comptes pour affiner une surveillance. Des cybercriminels, eux, peuvent identifier la zone géographique d’utilisateurs précis et cibler leurs attaques. Et certaines entreprises, peu soucieuses des questions de vie privée, pourraient être tentées de suivre ainsi leurs clients ou leurs employés sans leur consentement. Les réactions en demi-teinte de Signal, Discord et Cloudflare Selon Daniel, tous les acteurs concernés ont été alertés, mais la réception a été mitigée : Résultat : tant que les services concernés ne modifient pas leurs configurations, cette attaque demeure partiellement exploitable. Comment limiter les risques ? Quelques gestes simples permettent de réduire la probabilité d’être la cible de cette faille : Équilibre précaire entre performance et confidentialité Cette affaire illustre une nouvelle fois la tension entre confort d’utilisation et protection de la vie privée. Les CDN offrent une rapidité d’accès devenue indispensable, mais ils introduisent aussi des failles parfois insoupçonnées. Même si la position obtenue n’est pas précise au centimètre près, elle peut suffire à surveiller et à recouper des informations. Pour les utilisateurs de Signal, Discord ou toute autre application s’appuyant sur des CDN, la vigilance s’impose. Paramétrer ses notifications et gérer le téléchargement des médias sont aujourd’hui plus que jamais des gestes de base. Car à l’heure où chaque métadonnée peut être retournée contre vous, la prudence reste votre meilleur allié.

Messagerie Telegram : la fin de l’anonymat

messagerie telegram christophe boutry polyope haurus requisition police

Il fut un temps où Telegram incarnait presque la figure héroïque d’une messagerie inviolable, célébrée par les militants de la vie privée comme un refuge inébranlable. Aujourd’hui, à la grande déception de nombreux adeptes, ce mythe se lézarde sérieusement. Car oui, Telegram — autrefois chantre de la confidentialité — a choisi de coopérer avec les autorités judiciaires aux quatre coins du globe. Si vous vous imaginiez encore profitant d’un havre numérique à l’abri des regards, il va peut-être falloir réviser votre copie. Un changement de cap « en toute conformité » Depuis septembre 2024, Telegram s’est métamorphosée en plateforme docile qui répond désormais à des centaines de requêtes officielles. Vous pensiez peut-être qu’en gardant le silence sur ses serveurs, la messagerie vous protégeait ? Détrompez-vous. Pas plus tard qu’en 2024, elle a obtempéré à pas moins de 893 demandes émanant des autorités françaises, livrant au passage des informations sur plus de 2 000 utilisateurs. Et ces chiffres ne sont que la partie émergée de l’iceberg : l’Inde arrive en pole position avec 14 641 requêtes ciblant plus de 23 500 utilisateurs, suivie de près par l’Allemagne (945 demandes, 2 237 utilisateurs) et les États-Unis (900 requêtes, 2 253 utilisateurs). Ironiquement, cette coopération s’inscrit dans une politique de « transparence » mise en avant par Telegram elle-même. Les données sont publiées via un bot et sur GitHub, à grand renfort de rapports chiffrés. L’initiative se veut vertueuse. Pourtant, à la lecture de ces statistiques, nombreux sont ceux qui accusent Telegram d’avoir cédé à la pression institutionnelle, mettant fin à un anonymat que l’entreprise avait élevé au rang de credo.     Telegram, l’arroseur arrosé ? La situation se veut d’autant plus cocasse que Telegram, dans le même temps, n’a pas hésité à pointer du doigt son concurrent Signal pour un présumé manque de transparence… alors que ce dernier offre un chiffrement de bout en bout par défaut pour toutes les conversations. Une petite pique adressée à l’application américaine, financée par des fonds non moins américains — insinuation à peine voilée que cela porterait atteinte à sa neutralité. Pendant ce temps, chez Telegram, on collecte vos numéros de téléphone, on stocke vos métadonnées, puis on les transmet dorénavant à la première injonction légale. L’arrestation de Pavel Durov : un tournant décisif En août 2024, Pavel Durov, PDG de Telegram, est arrêté en France pour complicité présumée en cybercriminalité et diffusion de contenus illicites. Difficile de ne pas voir dans cet épisode un virage à 180° : dès septembre 2024, Telegram adopte une politique de divulgation de données en cas de suspicion d’activités criminelles. Résultat immédiat : explosion du nombre de demandes satisfaites au quatrième trimestre 2024. Bien entendu, la plateforme justifie cette posture en arguant qu’elle protège avant tout ses utilisateurs et qu’elle répond aux obligations légales. Mais pour les puristes de la vie privée, c’est un coup de poignard. L’essence même de Telegram — cette intransigeance face à toute forme de surveillance — semble s’évanouir. Quand « nécessité » rime avec « dérive » On peut certes comprendre la position de Telegram : livrer des informations en cas d’enquête pénale grave pour débusquer des criminels notoires paraît logique. Le vrai souci, c’est qu’une fois ouverte la boîte de Pandore, il devient très compliqué de contrôler l’usage qui en est fait. Les défenseurs de la confidentialité craignent un glissement progressif, où des États moins regardants sur la notion de liberté individuelle pourraient eux aussi exiger — et obtenir — des informations à l’encontre de journalistes, d’opposants politiques ou de militants. En France, par exemple, l’accès aux données de connexion ne cesse de s’élargir au fil des nouvelles dispositions légales, avec un cadre toujours plus souple. Alors, imaginez les possibilités dans des pays où le droit est plus vague, ou carrément liberticide. Autrefois, l’absence totale de collaboration de Telegram était un rempart net et sans ambiguïté. Désormais, la frontière est devenue poreuse. Les illusions brisées et la quête d’alternatives Vous vous demandez alors vers qui vous tourner si Telegram a trahi son idéal ? Plusieurs options se dessinent. Signal, de plus en plus populaire, reste le choix numéro un pour quiconque recherche un chiffrement de bout en bout sur tous ses échanges. Olvid et Threema se montrent également solides pour qui souhaite s’affranchir de l’obligation d’associer son compte à un numéro de téléphone. Gardez toutefois en tête qu’aucune plateforme ne peut garantir un anonymat absolu. Les pressions légales et économiques, les contraintes techniques et politiques : tout cela finit tôt ou tard par s’immiscer, même dans les messageries les plus verrouillées. Et de toute façon, la simple nécessité d’un numéro de téléphone pour vous inscrire vous prive déjà d’une bonne partie de votre anonymat. Quand Telegram devient une messagerie (presque) comme les autres Loin de l’aura rebelle qui l’entourait, Telegram a choisi de s’inscrire dans la norme : celle des plateformes qui coopèrent — parfois à contrecœur — avec les gouvernements. En sacrifiant une partie de ses idéaux, elle s’aligne peu à peu sur des messageries plus grand public, voire plus commerciales. Là où certains voient un pragmatisme nécessaire, d’autres y discernent un renoncement pur et simple. Reste à savoir si la communauté, jadis conquise par des promesses de sécurité infaillible et de refus catégorique de toute censure, acceptera ce changement de paradigme. Car oui, les utilisateurs ne sont pas dupes. Ils observent, ils comparent et, si la déception est trop forte, ils migreront vers des applications plus cohérentes avec leurs valeurs. Un mythe qui s’effondre ? Telegram, symbole d’une ère post-Snowden où le citoyen connecté cherchait par tous les moyens à reprendre la main sur son intimité numérique, apparaît désormais comme une plateforme tout ce qu’il y a de plus classique. Injonctions judiciaires, politique de divulgation des données : un scénario de déjà-vu, en somme. Le débat autour de la protection de la vie privée est loin d’être clos : à chaque avancée sécuritaire, une nouvelle faille s’ouvre, un nouveau compromis se profile. Pourtant, l’affaire Telegram montre qu’on ne peut plus se contenter de belles déclarations d’intention. Quand

Cyberguerre et Convention de Budapest : bilan des pratiques des États signataires par le T-CY

rapport article 19 cyberguerre cybercriminalité convention budapest conseil europe christophe boutry haurus

Adoptée en 2001 et entrée en vigueur en 2004, la Convention de Budapest sur la cybercriminalité constitue le premier traité international visant à prévenir et à réprimer les délits informatiques. Conçue sous l’égide du Conseil de l’Europe, elle couvre un large spectre d’infractions, de la fraude en ligne à la pornographie infantile, en passant par la violation des droits d’auteur et le discours de haine. Son ambition première : harmoniser les législations nationales et offrir aux États un cadre commun pour faciliter la coopération judiciaire. À ce jour, 77 pays ont signé la Convention et 75 d’entre eux l’ont ratifiée, dont la France, le Canada, le Japon, les Philippines et, plus récemment, les États-Unis. Ce large consensus reflète l’enjeu mondial que représente la cybercriminalité, alors que les attaques informatiques se complexifient et que les preuves numériques s’éparpillent aux quatre coins de la planète. Dans ce contexte, l’article 19 – relatif à la recherche et à la saisie de données informatiques – retient particulièrement l’attention. Le Comité de la Convention sur la cybercriminalité (T-CY) vient d’ailleurs de publier un rapport d’évaluation qui met en lumière le délicat équilibre entre efficacité des enquêtes et garanties fondamentales. Un pivot essentiel pour traquer la cybercriminalité Intitulé « Recherche et saisie de données informatiques stockées », l’article 19 permet aux États de concevoir des procédures adaptées à la spécificité des preuves numériques. Il autorise notamment la fouille d’un système informatique, l’accès à distance, l’extension de la perquisition à d’autres réseaux, la copie des données et, dans certains cas, leur suppression ou leur mise hors d’accès. En contrepartie, ce dispositif impose un strict encadrement légal : toute mesure d’intrusion, de saisie ou de contrainte doit être assortie de garanties pour éviter les abus et préserver les droits fondamentaux.     C’est dans ce cadre que le T-CY – organe chargé de veiller à la bonne application de la Convention – a entrepris une évaluation approfondie. Il s’est appuyé sur les réponses fournies par les États membres, ainsi que sur des retours d’expérience concrets. Le rapport qui en résulte dresse un tableau précis des réussites, des carences et des zones d’ombre. Certains pays, comme la Bosnie-Herzégovine et la Bulgarie, font figure d’exemples de bonne pratique en matière de transparence judiciaire : toute perquisition en urgence y est soumise à une validation formelle par un juge, au risque sinon de rendre les preuves inexploitables. Des pratiques hétérogènes et souvent déséquilibrées Bien que la quasi-totalité des pays exige une autorisation judiciaire avant d’accéder à des données informatiques, des disparités notables subsistent. En France ou au Maroc, le procureur peut ordonner une perquisition numérique dans certaines circonstances, un pouvoir qui accélère l’enquête. À l’inverse, en Autriche ou au Brésil, l’accès à distance à un système informatique n’est quasiment jamais autorisé sans mandat spécifique émanant d’un juge. La gestion de l’urgence constitue par ailleurs un point de friction majeur. En Espagne et au Danemark, les forces de l’ordre peuvent intervenir immédiatement si les preuves risquent de disparaître, mais toute action doit être rapidement validée par un juge pour rester valable devant les tribunaux. Au Chili ou en Albanie, les législations ne prévoient pas de cadre précis pour ces cas urgents, laissant aux autorités une marge de manœuvre parfois trop large et affaiblissant la crédibilité des preuves recueillies. Dans certains États, la définition de l’urgence repose sur la gravité supposée du crime, comme en Géorgie, où la qualification terroriste peut justifier un accès immédiat aux données, alors que d’autres infractions nécessiteront un mandat formel. Ces différences illustrent la difficulté d’établir une harmonisation internationale, malgré la portée globale de la cybercriminalité. Le cas français : rigueur légale et controverses récurrentes Au sein de cette mosaïque, la France se distingue par un arsenal législatif réputé exigeant. Toute perquisition numérique doit en principe être validée par un juge, gage d’un contrôle indépendant et d’une proportionnalité des mesures. Pourtant, dans de très nombreux cas – essentiellement en enquête de flagrance ou préliminaire –, le procureur de la République peut autoriser la collecte de preuves informatiques. Cette exception continue d’alimenter le débat, nombre de juristes et d’associations rappelant que le parquet n’offre pas les mêmes garanties d’impartialité qu’une juridiction. Le rapport du T-CY met en relief un autre enjeu crucial : la dissémination des serveurs à travers le monde. Pour récupérer des données potentiellement hébergées hors du territoire, la France mise sur l’idée de « disponibilité » : tant qu’une information est accessible depuis son sol, elle peut être perquisitionnée. Des pays comme la Finlande ou les États-Unis s’appuient également sur ce principe, tandis que d’autres, à l’instar de l’Allemagne, préfèrent se conformer strictement aux frontières numériques, en passant par des demandes d’entraide judiciaire. Cette diversité de doctrines montre les écueils auxquels se heurte la coopération internationale en matière de criminalité en ligne. Des données protégeables, copiables… et parfois délicates à saisir Une autre leçon clé du rapport concerne la difficulté de transposer la saisie d’un objet matériel à celle de données virtuelles. De nombreux pays, dont la Suisse et la Lituanie, ont recours à des techniques avancées comme le hachage ou les scellés électroniques pour attester de l’intégrité et de l’authenticité des fichiers saisis. Au Canada, la législation prévoit expressément la possibilité de réaliser une copie sélective des données pour éviter des saisies massives et intrusives, tout en protégeant les informations non pertinentes. L’article 19 autorise aussi l’obligation pour une personne détenant des clés de chiffrement ou des mots de passe de les divulguer. En Royaume-Uni, par exemple, le délit de « failure to disclose » peut entraîner des poursuites pénales contre quiconque refuse de coopérer. Ce dispositif se heurte toutefois au droit de ne pas s’auto-incriminer, un principe que la Belgique ou l’Espagne préservent scrupuleusement en limitant la portée de l’obligation de coopération. Une coopération internationale à réinventer La dimension transfrontalière des données pose un défi majeur auquel le T-CY consacre un chapitre entier. Le rapport plaide pour une harmonisation accrue des législations et des procédures, sans quoi les criminels exploitent les failles liées à la localisation des serveurs. Les auteurs insistent aussi sur la nécessité de partager

17Cyber.gouv.fr : la nouvelle plateforme d’urgence contre les cyberattaques

Christophe Boutry, Haurus, DGSI, investigation téléphonique, investigation numérique, analyse de procédure pénale, gestion relationnelle dans les procédures, stratégie d’enquête, défense numérique, anonymat dans les enquêtes, PNIJ, Mercure, balise GPS, formation téléphonie judiciaire, formation numérique judiciaire, analyse des données téléphoniques, expertise judiciaire numérique, forensic numérique, forensic téléphonique, techniques spéciales d’enquête, audit des données numériques, formation stratégique pénale, enquête numérique judiciaire.

Un réflexe numérique face aux urgences cyber Dans le tumulte des cyberattaques qui ciblent particuliers, entreprises et collectivités, une question se pose avec insistance : que faire en cas de piratage ? Face à la complexité des démarches et à la multiplication des plateformes comme Pharos, Perceval ou Cybermalveillance.gouv.fr, il n’est pas toujours évident de trouver la bonne porte. C’est pour répondre à ce besoin que 17Cyber a vu le jour. Lancée le 17 décembre 2024, cette plateforme ambitionne de devenir le premier réflexe numérique en cas d’urgence, un équivalent du « 17 » pour les urgences police, mais pour les cyberattaques. Une idée prometteuse qui pourrait bien transformer la manière dont la cybercriminalité est appréhendée en France.   Un guichet unique pour une réponse centralisée Pour contrer l’ampleur des cyberattaques, 17Cyber se positionne comme une plateforme accessible à tous. En fonction du profil de la victime – particulier, entreprise ou collectivité – et de la nature de l’incident, quelques questions suffisent pour poser un diagnostic clair. Par exemple, en cas de piratage de votre compte Facebook, la plateforme vous guide pas à pas : Si le problème est plus grave, un policier ou un gendarme spécialisé peut être contacté directement via un tchat, ou même par téléphone, pour poser un diagnostic plus approfondi et, si nécessaire, proposer une intervention rapide. Un accompagnement personnalisé : des solutions concrètes Contrairement à certains outils existants, souvent jugés impersonnels, 17Cyber mise sur l’humain et l’efficacité. Les victimes ne sont pas abandonnées face à un formulaire automatique : un réseau de 58 gendarmes et 45 policiers formés aux problématiques cyber est mobilisé pour répondre 24h/24, 7j/7. Prenons un exemple concret :Vous êtes une entreprise victime d’un ransomware. Dès la première étape, la plateforme recommande des gestes simples mais cruciaux : Mon expérience utilisateur : un outil utile, mais perfectible Pour évaluer la plateforme, j’ai simulé un cas où j’étais un particulier victime du piratage de son compte sur un réseau social. Voici les étapes : Si les recommandations sont pertinentes et bien adaptées, l’interface montre certaines limites. Les actions à effectuer renvoient souvent à des liens externes ou des FAQ détaillées, ce qui peut s’avérer fastidieux. Un tutoriel vidéo ou une interface plus interactive aurait rendu l’expérience plus fluide, notamment pour les utilisateurs moins à l’aise avec le numérique. Des cyberattaques en constante progression Entre 2016 et 2023, les atteintes numériques aux biens, comme les escroqueries en ligne, ont augmenté de 8 % par an. Les attaques contre les personnes, comme le cyberharcèlement, ont progressé de 9 %. Dans ce contexte, 17Cyber cherche à devenir un outil clé dans la lutte contre ces menaces croissantes, tout en collectant des données pour mieux comprendre les modes opératoires des cybercriminels. Chaque signalement ou plainte devient une pièce du puzzle permettant aux autorités d’adapter leurs stratégies et de renforcer la sécurité des systèmes les plus vulnérables. Un outil pratique pour des problèmes variés 17Cyber s’avère particulièrement efficace pour répondre à des situations concrètes : 17Cyber : prévention et réaction L’enjeu de 17Cyber ne se limite pas à accompagner les victimes. En centralisant les signalements, la plateforme devient un véritable outil de prévention, permettant d’identifier les tendances émergentes de la cybercriminalité, de renforcer la souveraineté numérique et d’améliorer les stratégies de lutte. Un réflexe à adopter 17Cyber n’est pas qu’une plateforme : c’est une ligne de secours numérique. Accessible et claire, elle répond à un besoin urgent dans un monde où les cybermenaces ne cessent de croître. Si l’ergonomie peut encore être améliorée pour certains publics, notamment les moins habitués au numérique, cette initiative marque une avancée majeure dans la gestion des cyberattaques. Face à une attaque, adoptez le réflexe 17Cyber : un clic, un diagnostic, et une solution adaptée. Parce qu’en cybersécurité, chaque minute compte.

Messageries instantanées : l’illusion de la confidentialité et l’avertissement de l’ANSSI

L’ANSSI, gardienne de la cybersécurité française, tire une nouvelle sonnette d’alarme. Les messageries instantanées que nous utilisons quotidiennement – WhatsApp, Signal, Telegram – nous promettent une confidentialité absolue. Mais cette illusion ne résiste pas à une analyse rigoureuse. Fidèle à son approche pragmatique, l’agence nous rappelle que, en matière de sécurité, la réalité est plus nuancée. Dans un rapport récemment publié, elle identifie les solutions offrant le plus haut niveau de protection, avec une priorité donnée à la sécurité des agents de l’État, tout en éclairant, nous, citoyens, sur les risques liés à ces outils omniprésents. On nous assure que nos conversations sont chiffrées, que nos vies privées sont préservées. Pourtant, la réalité est plus complexe. Prenons WhatsApp, par exemple : si tout semble verrouillé, le chiffrement dissimule une collecte massive de métadonnées. Qui parle à qui, à quelle heure, depuis quelle localisation – ce n’est pas le contenu des messages qui est exploité, mais tout ce qui gravite autour. Une véritable mine d’or pour les algorithmes et pour une entreprise comme Meta, maison mère de Facebook, qui ne cache plus son insatiable appétit pour nos comportements. Telegram joue, de son côté, sur une ambiguïté encore plus dangereuse. Beaucoup la perçoivent comme une alternative sûre, alors que ses conversations ne sont chiffrées de bout en bout qu’en mode “secret”, une option largement méconnue ou ignorée par la majorité des utilisateurs. Le reste des échanges demeure vulnérable. En avril 2024, une vulnérabilité critique a été découverte, permettant l’exécution de code à distance via l’envoi de fichiers multimédias malveillants. Bien que cette faille ait été corrigée, elle illustre les risques persistants pour les utilisateurs. Contrairement à Signal, le protocole de chiffrement de Telegram manque de transparence, car il n’a pas fait l’objet d’audit externe par des experts en cybersécurité. Ajoutons à cela les récents déboires de son fondateur, Pavel Durov, arrêté en France. Cette situation soulève des doutes quant à sa capacité à résister aux pressions. De surcroît, Telegram a récemment collaboré avec la justice française dans plusieurs enquêtes pénales. Certes, une initiative utile pour montrer patte blanche et faciliter la résolution d’affaires, mais un véritable coup de canif dans la sacro-sainte protection de la confidentialité et de l’anonymat. Signal : la seule solution crédible aujourd’hui ? Je l’ai déjà dit, mais il est essentiel de le répéter : si vous tenez réellement à la confidentialité de vos échanges, Signal reste aujourd’hui la seule messagerie digne de confiance. Edward Snowden, qui connaît mieux que quiconque les mécanismes de surveillance de masse, en a fait son outil de prédilection, et ce n’est pas un hasard. Signal coche toutes les cases : sécurité, transparence et confidentialité. Contrairement à WhatsApp et Telegram, qui collectent des métadonnées ou compromettent partiellement leur chiffrement, Signal propose un modèle transparent et irréprochable. Son code est open source, vérifiable par tous, ce qui écarte tout doute quant à la présence de portes dérobées. Aucune publicité, aucune collecte de données personnelles, pas même de métadonnées : Signal ne sait ni qui vous êtes, ni avec qui vous parlez, ni où vous vous trouvez. Sa force réside surtout dans le chiffrement de bout en bout, activé par défaut pour tous les échanges : conversations, appels audio et vidéo. Là où Telegram ne chiffre qu’une partie des communications, Signal ne laisse aucune place à l’interception de vos messages. Le cas Barrot : quand l’État s’expose Si l’ANSSI prend la parole aujourd’hui, c’est aussi pour rappeler à l’ordre les administrations publiques. Le piratage du téléphone de Jean-Noël Barrot, alors ministre des Affaires étrangères, illustre cette fragilité. L’attaque, simple mais efficace, a été rendue possible par un phishing de qualité. Un simple clic sur un lien piégé, et ses échanges étaient compromis. Bien que cette attaque ait eu lieu via Signal, elle souligne que même l’outil le plus sécurisé ne résiste pas à un manque de vigilance. Ce qui frappe encore plus, c’est le refus du ministre de remettre son téléphone pour une analyse technique, révélant un malaise profond. Comment sécuriser un État si ses membres rechignent à appliquer les bonnes pratiques ? Cet épisode rappelle une vérité fondamentale : les outils ne suffisent pas. La sécurité repose avant tout sur la vigilance humaine. Olvid et Tchap : des solutions françaises, mais pour qui ? L’ANSSI recommande également des alternatives françaises. Tchap, conçu pour l’administration publique, offre une sécurité rigoureuse, mais reste inaccessible aux citoyens. Quant à Olvid, c’est sans doute la solution la plus sérieuse à ce jour, certifiée par l’ANSSI. Elle se distingue par l’absence de numéro de téléphone requis et par un stockage de contacts inexistant. La sécurité est quasi-infaillible. Le principal obstacle ? L’expérience utilisateur. Avant de pouvoir échanger, il faut passer par un échange de QR codes et de codes secrets. Efficace, certes, mais rebutant. Voilà tout le problème : la sécurité exige des efforts. Tant que les solutions les plus sûres seront aussi complexes, elles resteront réservées aux technophiles ou aux usages les plus sensibles. Sécurité ou commodité : il faudra choisir Le cœur du problème dépasse les outils. La question centrale est notre capacité à bien les utiliser. Même avec Signal, si vous n’activez pas l’authentification multifacteur ou laissez vos messages visibles sur un écran déverrouillé, vous vous exposez. La sécurité est une discipline, un effort quotidien. La tendance amorcée par Olvid – supprimer le numéro de téléphone comme identifiant – est prometteuse. Signal progresse aussi dans cette direction en permettant de masquer son numéro. Mais cette évolution reste encore timide. Le dernier rempart : la vigilance individuelle Il ne s’agit pas uniquement de se protéger contre l’exploitation commerciale ou les habitudes d’achat. L’enjeu véritable est la sécurité de nos échanges, de nos informations personnelles et de nos identités. Même avec un chiffrement robuste, la récupération de données sensibles reste possible si nous manquons de rigueur dans nos pratiques. L’ANSSI a raison d’être alarmiste : les failles ne sont pas seulement techniques, elles sont humaines. La confidentialité n’intéresse souvent personne… jusqu’à ce qu’il soit trop tard. La