Messagerie BlackBerry : la police canadienne aurait disposé d’une clé

C’est un bout du voile de la coopération de BlackBerry avec les autorités qui se lève. Nos confrères de Vice s’appuient sur plus de 3000 pages de documents de la justice canadienne pour mettre en lumière la façon dont la police locale a pu intercepter et déchiffrer au moins des centaines de milliers de messages instantanés BlackBerry entre 2010 et 2012. Et cela, au moins en partie grâce à la manière dont est conçu le service.

Dans une note d’information d’août dernier, le Canadien explique en effet que « chaque smartphone BlackBerry peut déchiffrer chaque message PIN qu’il reçoit parce que tous stockent la même clé de chiffrement de pair-à-pair ». D’ailleurs, « le chiffrement des messages PIN n’empêche pas un smartphone BlackBerry autre que le destinataire de déchiffrer le message PIN ». De quoi construire un système de déchiffrement massif de ces messages, après leur interception.

Et justement, selon nos confrères, la police canadienne dispose bien d’un équipement qui « simule un appareil mobile qui reçoit un message », lequel « assure le déchiffrement du message en utilisant la clé de déchiffrement appropriée ». Il apparaît donc clair que les autorités locales ont eu accès à cette clé. Reste à savoir comment. Et là, nos confrères se gardent pour l’heure de toute affirmation.  

Alan Treddenick, directeur de BlackBerry en charge de la sécurité nationale, a estimé à l’automne dernier que divulguer la clé en question pourrait « potentiellement affecter les relations avec les autres utilisateurs finaux de BlackBerry et les enquêtes criminelles dans le monde entier, pour tous les pays étrangers où BlackBerry opère et fournit des services de communication ». De son côté, l’inspecteur Mark Flynn a assuré que le constructeur avait « facilité le processus d’interception », mais sans préciser la nature de l’aide apportée. De quoi entretenir le doute.

Si elles s’avèrent éclairantes, ces révélations ne constituent toutefois pas une véritable surprise. A l’automne dernier, Marty Beard, directeur opérationnel de BlackBerry, a affirmé que le Canadien avait adopté « une approche équilibrée » en matière de chiffrement des communications. Comprendre : donner la priorité à la coopération avec les autorités locales en intégrant les capacités nécessaires aux interceptions légales.

Et il n’y avait, là encore, pas grand-chose de bien surprenant. Fin 2011, celui qui s’appelait alors RIM, a ouvert une installation à Mumbai pour aider les autorités indiennes à conduire des interceptions légales sur ses services chiffrés grand public. Et c’est en juillet 2013 qu’il semble avoir finalement mis à disposition des autorités indiennes un système d’interception en temps réel des messages instantanés, e-mails et pièces jointes transitant via ses services pour le grand public.

Accessoirement, ces dates coïncident avec celles du projet Clemenza auquel se rattachent les documents consultés par nos confrères : l’enquête correspondante a été lancée en 2010. Et l’on relèvera que les discussions engagées à l’époque entre BlackBerry et l’Inde – mais également l’Arabie Saoudite, et les Emirats Arabes Unis – avaient intéressé au plus haut point les Etats-Unis.

La police canadienne indique avoir intercepté et déchiffré plus d’un million de messages BlackBerry dans le cadre du projet Clemenza, entre 2010 et 2012. Et de relever que « c’était la première fois que cette technique [d’interception] était utilisée à une échelle aussi vaste pour une enquête majeure en Amérique du Nord ».

Reste que seuls sont là concernés les services grand public de BlackBerry. En entreprise, les échanges sont chiffrés par une clé configurée dans le BlackBerry Enterprise Server (BES), exclusive à l’organisation – mais valable à son entière échelle. Et si le Canadien recommande de la changer en cas de compromission, ou de suspicion de compromission, rien ne permet pour l’heure de dire, selon nos confrères, si BlackBerry a fait évoluer la clé utilisée pour ses services grand public. Ni si le Canada a procédé à d’autres interceptions et déchiffrements depuis, ou combien.