La police serbe a utilisé un exploit de Cellebrite pour déverrouiller un smartphone Android
En Serbie, les autorités auraient déverrouillé le smartphone d'un militant grâce à l'utilisation d'un exploit zero-day mis au point par la société Cellebrite. Sur quoi repose cette méthode ? Comment peut-on se protéger ? Faisons le point.
Pour rappel, Cellebrite est une entreprise israélienne spécialisée dans le forensic qui développe des outils performants pour extraire des données de smartphones et d'autres appareils numériques. Leurs outils sont notamment utilisés par les forces de l'ordre et les agences de renseignement. Pour pouvoir déverrouiller les appareils, ils exploitent bien souvent des failles de sécurité non patchées par les éditeurs.
Par l'intermédiaire d'un nouvel article, Amnesty International révèle qu'un militant serbe de 23 ans a vu son smartphone Android compromis par un exploit zero-day conçu par la société israélienne Cellebrite. Les faits se sont déroulés le 25 décembre 2024 à Belgrade. Lors de l'arrestation, la police a confisqué le smartphone de l'individu : un Samsung Galaxy A32.
"Le téléphone Android d'un manifestant étudiant a été exploité et déverrouillé grâce à une chaîne d'exploits zero-day sophistiquée ciblant les pilotes USB d'Android, développée par Cellebrite.", déclare Amnesty International.
Quelles sont les vulnérabilités exploitées ?
La faille de sécurité principale, associée à la référence CVE-2024-53104 (score CVSS : 7.8 sur 10), permet une élévation de privilèges via le pilote USB Video Class (UVC) du noyau. Cette vulnérabilité présente dans le noyau Linux a été patchée en décembre 2024 et par l'intermédiaire des mises à jour de sécurité de février 2025 pour Android. Google a d'ailleurs précisé que cette vulnérabilité faisait l'objet d'une exploitation limitée et ciblée.
Dans le cadre de l'action effectuée par la police serbe, cette vulnérabilité a été combinée avec deux autres failles (CVE-2024-53197 et CVE-2024-50302) afin de contourner la sécurité de l'appareil.
"L'exploit, qui ciblait les pilotes USB du noyau Linux, a permis aux clients de Cellebrite ayant un accès physique à un appareil Android verrouillé de contourner l'écran de verrouillage et d'obtenir un accès privilégié à l'appareil.", précise Amnesty International.
Une application suspecte...
Une fois l'appareil déverrouillé, quelles sont les actions effectuées par les autorités ? Dans le cas présent, ce qui est suspect, c'est que les autorités ont tenté d'installer une application Android inconnue, mais qui pourrait bien être un logiciel espion... En effet, la nature exacte de l'application reste inconnue, mais elle rappelle le mode opératoire du spyware NoviSpy, détectées à la mi-décembre 2024.
Les outils et techniques proposés par Cellebrite n'ont pas vocation à faciliter les activités de ce type. D'ailleurs, l'entreprise israélienne l'a fait rapidement savoir, en réaction au rapport publié par Amnesty International. Elle estime que ces outils "ne sont pas conçus pour faciliter une quelconque activité cyber-offensive.".
Par précaution, l'entreprise israélienne a également annoncé la suspension de l'utilisation de ses logiciels en Serbie, déclarant : "Nous avons estimé opportun de suspendre l'utilisation de nos produits par les clients concernés à ce stade."
Les exploits USB sont fréquemment utilisés par les outils comme ceux de Cellebrite. En complément du suivi des mises à jour, il est important d'utiliser le mode de charge uniquement pour les connexions USB.
