Signal accuse Cellebrite de failles de sécurité majeures dans ses logiciels, après que Cellebrite ait prétendu avoir cracké l'encryption de Signal. Moxie Marlinspike se moque de la société, mettant en lumière des vulnérabilités pouvant compromettre les données. Cette bataille soulève des questions sur la sécurité des technologies de surveillance et la protection des données.
L'application de messagerie cryptée Signal a récemment accusé la société de cybersécurité Cellebrite de failles de sécurité majeures dans ses logiciels. Ce conflit fait suite à des affirmations de Cellebrite, qui avait prétendu avoir décrypté la messagerie sécurisée de Signal l'année dernière, une accusation que Signal avait fermement rejetée.
Dans sa réponse, Moxie Marlinspike, le dirigeant de Signal, a plaisanté en disant qu’il avait acquis le système de Cellebrite après qu'il "soit tombé d’un camion". Il a ensuite détaillé les failles qu'il aurait découvertes, affirmant que celles-ci permettaient de prendre facilement le contrôle du système et d'exécuter n'importe quel code. Marlinspike a aussi suggéré que ces vulnérabilités pourraient permettre d’accéder aux données, de modifier les paramètres et bien plus encore.
Cellebrite, de son côté, a réagi en affirmant que ses produits et logiciels respectaient les normes les plus élevées de l’industrie, et qu’ils garantissaient des données valides et forensiquement fiables. Toutefois, la démonstration de Marlinspike, dans laquelle il exécute un code simple sur une machine équipée du logiciel de Cellebrite, a soulevé de sérieuses questions sur la sécurité du système.
Le blog de Signal a rapidement tourné en dérision Cellebrite, avec des références à des films cultes comme Hackers, et a mis en évidence l'ampleur des vulnérabilités dans les produits de la société de cybersécurité. Selon Signal, ces failles sont particulièrement embarrassantes pour Cellebrite, qui se vante de sa capacité à pénétrer des systèmes de messagerie sécurisés comme Signal.
L'attaque de Signal n'est pas un simple échange de polémiques. Elle intervient après que Cellebrite ait affirmé en décembre dernier avoir cracké l'encryption de Signal, une déclaration qui a depuis été démentie. Marlinspike a qualifié cette situation de "cauchemar" pour Cellebrite, suggérant que leurs outils automatisent simplement l'accès aux données d'un appareil déverrouillé physiquement, une méthode que Signal critique vivement.
En résumé, cette confrontation semble marquer un épisode de plus dans la guerre des cyber-sécurités, et peut-être un "mic drop" pour Signal, qui semble avoir laissé Cellebrite sans réponse crédible. La bataille continue entre ces deux géants de la cybersécurité, soulevant des questions sur la sécurité des technologies de surveillance et la protection des données personnelles.
Source : BBC
