Le monde de l’investigation numérique est en constante évolution, et Cellebrite y occupe une place de choix. Cette société israélienne, connue pour son logiciel phare UFED (Universal Forensic Extraction Device), fournit aux forces de l’ordre des outils capables d’extraire tout un éventail de données depuis un smartphone – qu’il soit verrouillé ou non. En France comme ailleurs, c’est l’un des dispositifs les plus employés par la police judiciaire. Il reste cependant rare d’avoir accès à la documentation technique interne de Cellebrite, détaillant ses capacités réelles face aux multiples verrous et mises à jour d’Android.
Le 16 mars 2025, l’Osservatorio Nessuno a publié un document inédit : les matrices de compatibilité de l’outil Cellebrite (v7.73.1) pour Android, datées de février 2025. Ces tableaux, d’ordinaire confidentiels, sont un précieux révélateur pour mesurer ce que Cellebrite parvient vraiment à déverrouiller ou non. Polyope propose d’ailleurs un rapport d’analyse de ces matrices, disponible à ce lien, afin d’expliquer plus en détail les stratégies d’accès de Cellebrite. Il contient une liste indicative des smartphones vulnérables équipés d’Android.
Une large vulnérabilité pour la majorité des smartphones Android
Selon ces matrices, la majorité des modèles Android, toutes marques confondues, s’avèrent largement accessibles aux outils de Cellebrite. Qu’il s’agisse de Samsung, Xiaomi, Huawei, Motorola ou LG, un seul critère suffit généralement : l’appareil doit être en mode AFU (After First Unlock), c’est-à-dire avoir été déverrouillé au moins une fois depuis son démarrage. Dans ce contexte, même le chiffrement natif d’Android et les systèmes de verrouillage les plus récents peuvent être contournés, car la clé de déchiffrement se retrouve temporairement en mémoire vive.
BFU, AFU : deux états qui changent tout
• BFU (Before First Unlock) : si le téléphone vient d’être allumé ou redémarré, sans qu’aucun code n’ait été saisi, les clés de chiffrement restent inaccessibles dans une zone sécurisée. Les tentatives de Cellebrite peinent alors à extraire des données sensibles.
• AFU (After First Unlock) : dès que l’utilisateur entre son code une première fois, la clé de déchiffrement est « chargée » pour fluidifier l’accès aux données. C’est cet état qui ouvre grand la porte à l’extraction des données chiffrées : Cellebrite peut alors fouiller contacts, messages, applications et fichiers supprimés.
Ainsi, un simple déverrouillage effectué par négligence, même un temps limité, peut suffire à laisser l’outil pour récupérer l’essentiel du contenu du téléphone.
Le rôle déterminant du chipset, même sous Android 14 ou 15
On pourrait croire que les récentes versions d’Android (14, 15) corrigent ces vulnérabilités, mais la situation est plus subtile. L’analyse de ces récentes matrices de compatibilité montrent que l’efficacité de Cellebrite dépend davantage de la puissance de la puce de sécurité intégrée au téléphone :
• Les modèles d’entrée ou milieu de gamme, dotés de chipsets plus anciens ou moins robustes, restent parfois exposés en BFU.
• Les terminaux haut de gamme, équipés de puces Qualcomm Snapdragon récentes ou du Google Tensor, intègrent un environnement matériel sécurisé (TPM, Titan M, etc.) compliquant l’accès non autorisé.
Malgré tout, passer en AFU rend à nouveau ces protections bien moins efficaces : avec la clé de chiffrement en mémoire, Cellebrite retrouve sa redoutable capacité d’extraction.
Des données chiffrées, mais toujours à portée
Pourquoi un chiffrement apparemment solide ne suffit-il pas ? Android chiffre bien les données en interne, mais ce chiffrement repose sur une clé qui doit être immédiatement disponible dès que l’utilisateur veut accéder à ses applications. Tant que la clé réside en mémoire (mode AFU), un outil forensic performant peut en tirer parti. Les tableaux divulgués dévoilent à quel point ce mécanisme rend la plupart des données (SMS, messageries, historiques de navigation, etc.) vulnérables, même sur les appareils récents.
Google Pixel : la première ligne de défense
Parmi les exceptions notables, on trouve les Google Pixel à partir de la sixième génération. En cause, l’ajout de composants matériels dédiés à la sécurité (Titan M, Titan M2) qui stockent et protègent les clés cryptographiques dans un environnement isolé. Les attaques en BFU échouent quasiment toujours sur ces modèles, et l’extraction en AFU est plus ardue que sur la plupart des autres smartphones du marché. Éteindre et rallumer régulièrement son Pixel reste donc, en pratique, un moyen efficace de compliquer la tâche, d’autant plus que les Pixels intègrent nativement une fonction automatique de passage en mode BFU à intervalles rapprochés, à l’instar des iPhones d’Apple.
GrapheneOS : un bastion quasi imprenable
Basé sur Android mais spécialement durci, la distribution GrapheneOS n’est officiellement compatible qu’avec les Google Pixel. Ce système d’exploitation embarque diverses mesures qui le rendent encore plus imperméable à l’investigation numérique classique :
• Rétrogradation automatique de l’appareil en BFU après un certain délai d’inactivité,
• Blocage matériel du port USB dès que l’écran est verrouillé,
• Stockage matériel sécurisé couplé à des mises à jour fréquentes.
Les matrices de Cellebrite indiquent qu’aucune méthode « prête à l’emploi » ne permet de contourner GrapheneOS si ce dernier est à jour depuis fin 2022. Les manœuvres forensiques butent sur cette combinaison d’obstacles matériels et logiciels, limitant l’extraction des données même en AFU.
Ces révélations s’inscrivent dans la continuité d’autres fuites de documents internes de Cellebrite (Voir article Next.ink à ce sujet). Ces éléments confirment, entre autres, que les Pixel équipés de GrapheneOS repoussent les exploits BFU et AFU mis en avant par l’éditeur israélien. À l’inverse, les smartphones Android « classiques » — qu’ils soient haut de gamme ou non — restent exposés, du moins dès lors qu’ils ont été déverrouillés au moins une fois.
Les implémentations Android dites « standard » conservent plusieurs points de vulnérabilité liés à des failles dans le bootloader ou à des failles logicielles non corrigées. GrapheneOS, lui, renforce l’intégrité du système en durcissant le noyau, la gestion des permissions et l’isolation du chiffrement dans la puce Titan M2.
Conclusion : quels choix pour la sécurité ?
Les matrices publiés par l’Osservatorio Nessuno démontrent que l’immense majorité des terminaux Android restent largement vulnérables, dès lors qu’ils sont en mode AFU et que leurs clés de chiffrement se trouvent en mémoire. Or, à mesure que Cellebrite adapte ses outils, les constructeurs cherchent à renforcer leurs protections matérielles. C’est dans ce contexte que les Google Pixel récents, et plus encore GrapheneOS, montrent la faisabilité de protections avancées, capables de résister efficacement aux tentatives d’extraction. Pour ceux qui redoutent l’intrusion, la recommandation est claire : privilégier un appareil bénéficiant d’une puce de sécurité moderne, le tenir à jour et, si possible, adopter un système tel que GrapheneOS, le tout renforcé par un code de verrouillage réellement robuste.
La confrontation est donc loin d’être terminée. Pendant que la majorité des constructeurs peinent à combler les failles qu’exploitent les solutions d’extraction, d’autres démontrent qu’un chiffrement efficace, associé à des mécanismes matériels durcis, rend toute extraction intrusive extrêmement compliquée, voire impossible sans le consentement explicite de l’utilisateur.
