Google a discrètement corrigé un ensemble de vulnérabilités Android jusqu’alors inconnues, qui permettaient aux outils d’investigation judiciaire de déverrouiller des téléphones sans le consentement de l’utilisateur. Cette découverte a été faite par Amnesty International, qui a révélé que les autorités serbes avaient utilisé ces failles pour accéder au téléphone d’un étudiant protestataire.
Les vulnérabilités, identifiées comme une chaîne de trois failles zero-day, ont été découvertes dans le noyau USB Linux, ce qui signifie qu’elles n’étaient pas limitées à un seul appareil Android ou à un fabricant spécifique. Selon le rapport d’Amnesty, ces failles auraient pu affecter plus d’un milliard d’appareils Android dans le monde.
>>>GMF5Z pour Google Pixel 7 Pro
Les vulnérabilités zero-day sont particulièrement dangereuses, car elles restent inconnues des développeurs de logiciels ou de matériel jusqu’à leur découverte et leur exploitation. Puisqu’aucun correctif n’existe au moment de leur identification, les pirates informatiques — qu’il s’agisse de groupes criminels ou d’agences gouvernementales — peuvent les utiliser pour infiltrer des systèmes sans déclencher de mécanismes de sécurité.
Amnesty a détecté pour la première fois des traces de l’une de ces failles à la mi-2024, mais son ampleur réelle n’a été comprise que plus tard dans l’année. Une enquête approfondie sur le piratage du téléphone d’un activiste étudiant en Serbie a révélé que les autorités avaient utilisé les outils d’investigation judiciaire de Cellebrite pour contourner la sécurité d’Android. Amnesty a ensuite partagé ses découvertes avec le Threat Analysis Group de Google, ce qui a conduit à l’identification et à la correction de trois failles de sécurité distinctes.
Cellebrite, une entreprise israélienne spécialisée dans le développement d’outils de déverrouillage de téléphones pour les forces de l’ordre, s’est retrouvée au cœur de la controverse. Amnesty a découvert que les autorités serbes avaient utilisé la technologie de Cellebrite pour déverrouiller le téléphone de l’activiste à son insu et sans son consentement. Cette affaire a soulevé des inquiétudes quant à l’utilisation de ces outils contre des journalistes, des militants et des défenseurs des droits humains.
Ce n’était pas la première fois qu’Amnesty identifiait un usage abusif des outils de Cellebrite. En décembre 2024, l’organisation avait signalé que les autorités serbes avaient utilisé la technologie de Cellebrite pour déverrouiller les téléphones d’un militant et d’un journaliste. Le rapport révélait également qu’après avoir accédé aux appareils, les autorités avaient installé NoviSpy, un logiciel espion Android conçu pour la surveillance.
À la suite de ces accusations, Cellebrite a annoncé plus tôt cette semaine avoir rompu ses relations avec ses clients serbes, invoquant des préoccupations éthiques. L’entreprise a publié un communiqué indiquant qu’elle avait examiné les conclusions d’Amnesty et décidé de cesser temporairement de fournir ses produits au gouvernement serbe.
Le dernier rapport d’Amnesty détaille un autre cas où les autorités serbes ont utilisé les outils de Cellebrite pour accéder à un Samsung A32 appartenant à un jeune militant. Ce dernier avait été arrêté par l’Agence de Sécurité et d’Information (BIA) de Serbie à la fin de l’année 2024. Amnesty a constaté que les méthodes utilisées lors de son arrestation ressemblaient fortement à celles documentées dans son précédent rapport, renforçant ainsi les craintes d’une surveillance ciblée des dissidents politiques.
Amnesty a fermement condamné l’utilisation de ces outils d’investigation judiciaire pour réprimer la liberté d’expression et le droit de réunion pacifique, affirmant que ces pratiques violent les droits fondamentaux de l’homme. L’organisation a souligné que l’utilisation du logiciel de Cellebrite de cette manière ne peut être justifiée par aucun cadre juridique légitime.
>>>GT6SS pour Google Pixel Fold
La découverte de ces vulnérabilités a relancé le débat sur la sécurité des appareils Android, en particulier pour les individus susceptibles d’être ciblés par une surveillance gouvernementale ou une répression numérique.
Bill Marczak, chercheur principal au sein du Citizen Lab, a exhorté les militants, journalistes et membres de la société civile à envisager de passer aux iPhones, qu’il estime offrir une meilleure protection contre les outils de déverrouillage judiciaire.
Donncha Ó Cearbhaill, responsable du Security Lab d’Amnesty, a averti que la technologie de Cellebrite est plus largement accessible qu’on ne le pense. Il a exprimé des inquiétudes quant au fait que ce problème ne se limite peut-être pas à la Serbie et pourrait affecter des militants dans plusieurs pays.
Avec la correction de ces vulnérabilités par Google, la menace immédiate a été atténuée. Cependant, pour les personnes préoccupées par la confidentialité numérique, il est essentiel de maintenir leurs appareils à jour, d’utiliser des codes d’accès robustes et de privilégier les applications de messagerie chiffrées de bout en bout. Néanmoins, tant que des outils d’investigation judiciaire comme ceux de Cellebrite existeront, le risque d’accès non autorisé aux téléphones — en particulier dans des contextes politiques sensibles — restera un problème préoccupant.