La société Cellebrite, qui se présente comme le leader mondial de son secteur, a été victime d’une nouvelle fuite de données importante. Environ 1,7 téraoctet de données de la société ainsi que ses outils d’aide aux investigations judiciaires seraient désormais disponibles au téléchargement en ligne.
La fuite de données a d’abord été partagée par Enlace Hacktivista !, une page de soutien aux hacktivistes, puis par le collectif DDoSecrets, un groupe d’hacktivistes qui avaient déjà fait fuiter les données internes d’environ 200 services de police aux Etats-Unis. Selon Enlace Hacktivista !, la fuite de données serait due à un “lanceur d’alerte anonyme” qui aurait fait main basse sur l’un des logiciels de criminalistique de Cellebrite, ainsi que sur de la documentation. Il y a six ans, Cellebrite avait déjà été victime d’un important piratage, avec 900 Go exfiltrés par des cybercriminels.
Outre ces données de Cellebrite, le correspondant a également partagé 103 Go de données de l’entreprise suédoise MSAB, une société elle aussi positionnée dans le secteur des “forensics”, le mot anglais pour désigner les expertises judiciaires dans les environnements numériques.
Les hacktivistes justifient la diffusion de ces données internes visiblement volées en assurant que les logiciels de ces deux entreprises, vendus à des polices du monde entier, sont utilisés pour “collecter des informations sur des journalistes, des militants et des dissidents”, et notamment dans des cas de violation des droits humains, sans préciser toutefois de cas précis.
Selon le site Hackread, l’archive des données fuitées de Cellebrite rassemble la suite complète des programmes de l’entreprise, dont son logiciel phare UFED, ainsi que des “documents clients”. Tout en se montrant rassurant, en indiquant qu’il n’y aurait pas de données sensibles divulguées, et qu’une partie des fichiers diffusés seraient des packs de traduction.
La société n’a pas commenté pour l’instant la fuite de données, ni précisé sa sensibilité. Outre la crainte d’une éventuelle diffusion de données de clients, les experts s’interrogent sur une éventuelle fuite de secrets internes, comme des failles de sécurité d’appareils exploitées par les logiciels de l’entreprise.
En France, Cellebrite a remport en 2019 un marché public d’une durée de quatre ans pour la fourniture de systèmes d’extraction et d’analyse de données téléphoniques pour la police, la gendarmerie, la douane, et une direction du ministère des Affaires étrangères. Les téléphones étant au cœur de leurs activités, ce genre d’outils d’analyse de données sont très recherchés par les forces de l’ordre pour aider dans les enquêtes criminelles.
La fuite de données de Cellebrite soulève des questions sur la sécurité des données et sur l’utilisation de ces outils d’analyse de données par les forces de l’ordre. Il est important de se rappeler que ces outils peuvent être utilisés pour collecter des informations sur des individus innocents, ainsi que pour violer les droits de l’homme. Il est donc crucial que les entreprises comme Cellebrite prennent des mesures pour protéger les données de leurs clients et garantir que leurs outils ne soient pas utilisés de manière abusive.