Surveillance numérique ciblée : Contournement de l'authentification

Sommaire

Description
Mesures d'atténuation
Utilisation dans des opérations répressives

Sommaire

Description
Mesures d'atténuation
Utilisation dans des opérations répressives

Le contournement de l'authentification est le processus par lequel un adversaire contourne le chiffrement complet du disque qui protège l'accès à un appareil numérique. Un adversaire peut contourner l'authentification grâce à des erreurs humaines, des mots de passe faibles, ou des failles techniques.

Un adversaire peut contourner l'authentification des manières suivantes :

Accéder à un appareil alors qu'il est allumé (et donc que son chiffrement n'est pas efficace).
Trouver le mot de passe de chiffrement écrit quelque part.
Forcer le propriétaire de l'appareil à fournir le mot de passe de chiffrement en utilisant des techniques d'interrogatoire, y compris, dans certains contextes, de la violence physique.
Interception visuelle : observer le propriétaire de l'appareil taper le mot de passe de chiffrement via une caméra cachée ou un·e infiltré·e ou indic.
Brute force : deviner le mot de passe de chiffrement via des tentatives d'authentification automatiques et répétées.
Compromettre l'appareil numérique avec un malware installé à distance ou en accédant physiquement à l'appareil.
Exploiter une faille au niveau de l'implémentation du processus de chiffrement.

Utilisée par les tactiques : Incrimination

Mesures d'atténuation

Nom	Description
Bonnes pratiques numériques	Tu peux adopter de bonnes pratiques numériques, et en particulier utiliser des systèmes d'exploitation axés sur la sécurité avec un chiffrement complet du disque et des mots de passe robustes, pour que ce soit plus difficile pour un adversaire de contourner l'authentification de tes appareils numériques. Par exemple : Sur des ordinateurs, tu peux utiliser le chiffrement complet du disque de Linux appelé LUKS, qui est utlisé par de nombreux systèmes Linux, dont Debian^[1] et Tails^[2], et que le service de police scientifique de la police fédérale allemande n'a pas pu déchiffrer après avoir essayé pendant une année. Sur des téléphones, tu peux utiliser GrapheneOS, dont le chiffrement complet du disque fait qu'il est plus difficile pour un adversaire de deviner le mot de passe de chiffrement par brute force : après 140 essais ratés, chaque essai est retardé d'un jour complet^[3].
Mesures de détection d'accès physique	Tu peux prendre des mesures de détection d'accès physique pour détecter si un appareil a été accédé physiquement. Une fois qu'un appareil a été accédé physiquement par un adversaire, tu devrais le considérer comme compromis et ne plus jamais t'authentifier dessus. En effet, dans le pire des cas, l'adversaire pourrait avoir copié les données de l'appareil et avoir compromis son firmware de telle sorte que quand tu entres ton mot de passe, il peut l'obtenir à distance et l'utiliser pour déchiffrer les données.
Recherche de dispositifs de surveillance	Avant d'entrer un mot de passe dans une pièce où des dispositifs de surveillance cachés vidéo pourraient être présents, tu peux faire une recherche de dispositifs de surveillance pour localiser de tels dispositifs et les retirer.

Nom

Description

Bonnes pratiques numériques

Tu peux adopter de bonnes pratiques numériques, et en particulier utiliser des systèmes d'exploitation axés sur la sécurité avec un chiffrement complet du disque et des mots de passe robustes, pour que ce soit plus difficile pour un adversaire de contourner l'authentification de tes appareils numériques. Par exemple :

Sur des ordinateurs, tu peux utiliser le chiffrement complet du disque de Linux appelé LUKS, qui est utlisé par de nombreux systèmes Linux, dont Debian^[1] et Tails^[2], et que le service de police scientifique de la police fédérale allemande n'a pas pu déchiffrer après avoir essayé pendant une année.
Sur des téléphones, tu peux utiliser GrapheneOS, dont le chiffrement complet du disque fait qu'il est plus difficile pour un adversaire de deviner le mot de passe de chiffrement par brute force : après 140 essais ratés, chaque essai est retardé d'un jour complet^[3].

Mesures de détection d'accès physique

Tu peux prendre des mesures de détection d'accès physique pour détecter si un appareil a été accédé physiquement.

Une fois qu'un appareil a été accédé physiquement par un adversaire, tu devrais le considérer comme compromis et ne plus jamais t'authentifier dessus. En effet, dans le pire des cas, l'adversaire pourrait avoir copié les données de l'appareil et avoir compromis son firmware de telle sorte que quand tu entres ton mot de passe, il peut l'obtenir à distance et l'utiliser pour déchiffrer les données.

Recherche de dispositifs de surveillance

Avant d'entrer un mot de passe dans une pièce où des dispositifs de surveillance cachés vidéo pourraient être présents, tu peux faire une recherche de dispositifs de surveillance pour localiser de tels dispositifs et les retirer.

Utilisation dans des opérations répressives

Nom	Description
Répression du sabotage de l'usine Lafarge	Les enquêteurs ont saisi plusieurs smartphones chiffrés dans les perquisitions et ont tenté d'accéder à leurs données chiffrées, avec plus ou moins de succès en fonction des téléphones^[4] : Pour les iPhones qui ont été saisis allumés, ils ont exploité les failles de sécurité qui existent quand ils sont allumés pour contourner leur chiffrement et accéder aux données chiffrées. Pour tous les téléphones Android (qu'ils aient été saisis allumés ou éteints) et pour un iPhone saisi éteint, ils ont extrait les partitions chiffrées des téléphones et ont tenté de deviner leurs mots de passe par brute force depuis un ordinateur.
Répression contre Zündlumpen	Dans certaines des perquisitions d'avril 2022, les policiers ont saisi des smartphones immédiatement après être entrés et les ont branchés à des batteries externes, vraisemblablement pour les empêcher de s'éteindre, ce qui aurait ré-activé leur chiffrement^[5].
Affaire de l'association de malfaiteurs de Bure	Les enquêteurs ont contourné l'authentification de cinq supports de stockage chiffrés trouvés dans des perquisitions^[6] : Un disque dur grâce au mot de passe très simple « stopcigeo », qu'ils ont peut-être deviné. Un disque dur grâce à un mot de passe trouvé sur un post-it sous l'ordinateur contenant le disque dur. Un disque dur grâce à un mot de passe qui leur a été donné par le/la propriétaire de l'ordinateur contenant le disque dur. Deux disques durs grâce à des mots de passe qu'ils ont trouvé dans un document texte sur un disque dur préalablement déchiffré.

Nom

Description

Répression du sabotage de l'usine Lafarge

Les enquêteurs ont saisi plusieurs smartphones chiffrés dans les perquisitions et ont tenté d'accéder à leurs données chiffrées, avec plus ou moins de succès en fonction des téléphones^[4] :

Pour les iPhones qui ont été saisis allumés, ils ont exploité les failles de sécurité qui existent quand ils sont allumés pour contourner leur chiffrement et accéder aux données chiffrées.
Pour tous les téléphones Android (qu'ils aient été saisis allumés ou éteints) et pour un iPhone saisi éteint, ils ont extrait les partitions chiffrées des téléphones et ont tenté de deviner leurs mots de passe par brute force depuis un ordinateur.

Répression contre Zündlumpen

Dans certaines des perquisitions d'avril 2022, les policiers ont saisi des smartphones immédiatement après être entrés et les ont branchés à des batteries externes, vraisemblablement pour les empêcher de s'éteindre, ce qui aurait ré-activé leur chiffrement^[5].

Affaire de l'association de malfaiteurs de Bure

Les enquêteurs ont contourné l'authentification de cinq supports de stockage chiffrés trouvés dans des perquisitions^[6] :

Un disque dur grâce au mot de passe très simple « stopcigeo », qu'ils ont peut-être deviné.
Un disque dur grâce à un mot de passe trouvé sur un post-it sous l'ordinateur contenant le disque dur.
Un disque dur grâce à un mot de passe qui leur a été donné par le/la propriétaire de l'ordinateur contenant le disque dur.
Deux disques durs grâce à des mots de passe qu'ils ont trouvé dans un document texte sur un disque dur préalablement déchiffré.

1.

https://debian.org

2.

https://tails.net/index.fr.html

3.

https://grapheneos.org/faq#encryption

4.

https://notrace.how/resources/fr/#lafarge

5.

https://zuendlappen.noblogs.org/post/2022/05/07/muenchen-ueber-razzien-und-ein-%c2%a7129-verfahren-gegen-anarchistinnen-und-den-raub-einer-druckerei

6.

Source non publique.