La communication cryptée

La communication cryptée

L'opération internationale "Bouclier de Troie" a permis les arrestations simultanées de plusieurs réseaux criminels. Grâce à des milliers de téléphones infiltrés par le FBI et les polices internationales, leur communication cryptée a été enregistrée puis étudiée. ABGi vous expliques les techniques utilisées dans ce cryptage.

Une actualité, une technique

Infiltrer les réseaux de criminalité

En juin dernier, dans le monde entier, la police organise une vaste opération. Le but de cette opération, baptisée "Bouclier de Troie", était d’infiltrer les réseaux de criminalité. Pour cela, les autorités ont développé une nouvelle plateforme cryptée sur téléphone portable. Un déploiement de grande ampleur sur les principaux réseaux criminels a permis d'identifier les principaux acteurs. Cette application, appelée ANoM, est déployée

  • sur plus de 12 000 appareils cryptés,
  • à plus de 300 syndicats criminels
  • et dans plus de 100 pays.

Le FBI a profité du vide laissé par le démantèlement de l’ancienne plateforme Phantom Secure. Et ainsi, ils ont pu créer un nouvel outil de communication à destination des réseaux criminels. Grâce à des contacts au sein de l’organisation criminelle, l’application ANOM est peu à peu devenue un réseau incontournable du monde du crime.

L’objectif d’ANOM était de cibler les organisations mondiales

  • à la fois, du crime organisé,
  • du trafic de drogue,
  • ou encore du blanchiment d’argent.

Pour cela, l’application offrait un appareil crypté doté des caractéristiques souhaitées par les criminels telles que l’effacement à distance ou les mots de passe sous contrainte. Cela permettait de les séduire et donc de se tourner vers l’appareil.

Grâce à la communication cryptée

Les communications cryptées des criminels ne l’étaient en réalité pas pour les autorités. Cela a donné lieu à trois ans de collecte de données et d’analyse des différents messages échangés. Puis, une grande opération a démarré en juin. Elle s’est déroulée simultanément dans 16 pays différents, et  a permis d’obtenir les résultats suivants :

  • 800 suspects arrêtés.
  • 8 tonnes de cocaïne, 2 tonnes d’amphétamine et de méthamphétamine et 22 tonnes de cannabis saisies.
  • 250 armes à feu saisies.
  • 48 millions de dollars saisis dans diverses monnaies et cryptomonnaies internationales.

Ce coup d’éclat international de la part des différents services de police dans le monde et avec le soutien d’Europol n’aurait pas été possible sans le développement d’un téléphone crypté. Zoom sur le fonctionnement de ce moyen de communication.

Qu’est-ce qu’un téléphone crypté ?

Renforcer la sécurité

Un téléphone crypté est un téléphone pour lequel

  • les données transmises sont cryptées à leur envoi,
  • puis décryptées à leur réception par des algorithmes de chiffrement/déchiffrement.

Les nouvelles technologies permettent aujourd’hui d’intercepter facilement des échanges téléphoniques, qu’il s’agisse d’appels ou de messages. C’est dans une optique de renforcement de la sécurité que les premiers téléphones cryptés ont vu le jour. De cette manière, si une personne intercepte un appel crypté, elle ne peut comprendre la conversation. Cette dernière étant en effet comme « brouillée ».

Pour rendre le déchiffrement complexe

Les communications cryptées sont soumises à des algorithmes et des composants cryptographiques pour leur chiffrement. Ainsi, un système d’authentification basé sur des certificats numériques régit les communications. Les téléphones autorisés à recevoir un message ou un appel crypté sont dotés du code de chiffrement afin de décrypter les messages reçus. Plus l’algorithme de chiffrement sera puissant, plus la possibilité de le déchiffrer sera complexe.

L’utilisation de téléphones cryptés passe aujourd’hui majoritairement par un chiffrement appelé de bout en bout (end-to-end encryption, E2EE). Cela signifie que seules les personnes qui communiquent peuvent lire les messages échangés grâce au système de chiffrement/déchiffrement expliqué précédemment. Plusieurs outils ont recours à ce chiffrement E2EE. On peut, par exemple, citer :

  • le logiciel de cryptographie PGP (Pretty-Good-Privacy)
  • ou encore Whatsapp.

Le développement de ces outils était à l’origine dédié à protéger notre liberté d’expression et nos données personnelles lors d’échanges. Malheureusement, ces systèmes sont également utilisés par les réseaux criminels pour se cacher lors d’opérations illégales.

La clé de ces dispositifs est d’évoluer dans des environnements d’exécution sécurisés dont les clés restent secrètes. Néanmoins, l’histoire a montré que ces environnements n’étaient pas infaillibles. C’est de cette manière que les autorités internationales ont réussi ces dernières années à démanteler des réseaux de téléphones PGP tels que

  • Phantom Secure,
  • ou encore, IronChat,
  • Ennetcom,
  • Encrochat,
  • et enfin Sky ECC.

La cryptographie pour un usage personnel

Même si nous n’utilisons pas de téléphones totalement cryptés comme les criminels ou les membres du gouvernement, nous avons tout de même des outils de cryptographie à disposition sur nos téléphones. Il est ainsi possible avec des éléments standards de protéger nos données :

Des dispositifs de protection

  • Des dispositifs de déverrouillage ou de vérification sécurisés lors d’utilisations faisant appel à des données sensibles (données de paiement, données personnelles, etc.). On retrouve depuis plusieurs années le recours aux technologies de biométrie, dont la reconnaissance faciale, l'empreinte digitale, etc.
  • Des bloqueurs ou brouilleurs pouvant bloquer certaines communications. L’utilisation de brouilleurs est toutefois interdite dans certains pays.
  • Et aussi, une protection pare-feu comme sur les ordinateurs. MobileScope en propose un qui permet de
    • voir les informations transmises par les applications du téléphone,
    • puis, bloquer les transmissions sensibles,
    • ou, sécuriser les communications (avec des protocoles HTTPS par exemple),
    • et aussi, signaler la volonté de ne pas être tracé.

Des applications adaptées

  • Sur les téléphones dotés du système d’exploitation Android, il existe des applications telles que MockDroid. Elle permet de falsifier les informations personnelles fournies aux applications du téléphone. Ainsi, l’application pense obtenir les données personnelles sur l’utilisateur, mais en réalité MockDroid modifie ces informations pour lui en envoyer des erronées. Par exemple, si une application souhaite avoir accès à notre annuaire de contacts, MockDroid transmet l’information que la base de données contact est vide.
  • Il est possible d’installer des applications tierces pour permettre le cryptage des données, comme pour le fonctionnement d’un téléphone crypté dès l’origine. Ce sont des applications dotées d’algorithmes AES 256 bit. Elles sont parfaitement capables de sécuriser tout type de communication effectuée sur téléphone portable. Il en existe plusieurs sur le marché : PhoneCrypt, CryptoPhone, SecureGSM Pro, etc.
  • Des applications récentes permettent aussi de protéger les téléphones à partir de leur numéro IMSI (International Mobile Suscriber Identity) présent sur leur carte SIM ou leur numéro IMEI (International Mobile Equipment Identity). Il suffit de générer une chaine de caractère aléatoire servant de code crypté et de la lier au numéro IMEI. Le code de déchiffrage est stocké dans une base de données. Lorsque le téléphone doit être déverrouillé, la base de données relie la chaine de caractères avec le numéro IMEI et débloque le téléphone.

Des solutions pratiques

  • Afin de lutter contre le traçage d’un téléphone, le seul moyen fiable sur un téléphone "lambda" est de retirer la batterie. Mais cela n’est pas possible sur tous les modèles de téléphone récents, comme pour les iPhone par exemple. Alors, il est conseillé de placer son téléphone dans des sacs isolés grâce à un matériau conducteur tel qu’un fil métallique. Tant que le téléphone est à l’intérieur du sac, aucune onde radio ne peut être reçu ou envoyé.

Avec tous ces éléments, il est donc assez simple de rendre notre outil de communication privilégié plus sécurisé vis-à-vis de nos données personnelles. Il faut toutefois garder à l’esprit que sur ce genre de dispositif, le risque zéro n’existe pas et que nos communications peuvent à tout moment fuiter.

En conclusion

Aujourd’hui, la complexité, pour les différentes législations internationales, réside dans le juste équilibre entre l’accès aux technologies de cryptographie pour la préservation des libertés individuelles et la lutte contre les réseaux criminels faisant appel à ces mêmes outils. Aussi, l’histoire nous montre pour l’instant que les lois permettent de briser le cryptage de ces outils lorsqu’une enquête le nécessite. Mais, l’avancée toujours très rapide des nouvelles technologies de communication pourrait rapidement inverser la tendance. Les autorités doivent donc rester vigilantes pour garder la primeur des moyens cryptographiques existants.

La 5G : entre mythes et réalités 1

Léa Goux
Rédactrice scientifique
ABGI France


Références sur la communication cryptée

  • EUROPOL, 800 criminals arrested in biggest ever law enforcement operation against encrypted communication
    Communiqué de presse du 8 juin 2021.
  • Wolfe H. B., The mobile phone as a surveillance device, IEEE,
    Computer, 2017.
  • Nooh Bany M., A study on cell phone security: Authentication techniques,
    International Conference on Information and Computer Technologies (ICICT), 2018.
  • Zhou M., A software implementation of mobile phone network locking scheme based on encryption algorithm, Advances in Engineering Research (AER), Second international Conference on Material Science,
    Ernergy and Environmental Engineering (MSEEE), 2018, vol. 169.
  • Hartel P., Van Wegberg R., Going dark Analysing the impact of end-to-end encryption on the outcome of Dutch criminal court cases,
    Computer Science, 2021.

Lectures associées à la communication cryptée

Le QR code, le pass vers la liberté ?

La cybersécurité, comment ça marche

Contact

Vous souhaitez des informations complémentaires, être contacté par un de nos experts ou convenir d’un rendez-vous.