Incidents associés
Le laboratoire de sécurité d'Amnesty International, en collaboration avec le bureau régional européen d'Amnesty International, a découvert un nouveau cas d'utilisation abusive d'un produit Cellebrite pour pirater le téléphone d'un jeune militant en Serbie. Cette attaque correspond étroitement à la forme d'attaque que nous avions précédemment documentée dans un rapport, « Une prison numérique », publié en décembre 2024. Ce nouveau cas fournit une preuve supplémentaire que les autorités serbes ont poursuivi leur campagne de surveillance de la société civile à la suite de notre rapport, malgré les appels généralisés à la réforme, tant de l'intérieur de la Serbie qu'au-delà, ainsi qu'une enquête sur l'utilisation abusive de son produit, annoncé par Cellebrite.
Bien que cela ne soit pas documenté dans ce billet de blog, Amnesty International a également trouvé des preuves d'au moins deux autres cas d'utilisation abusive de Cellebrite contre la société civile (en plus de ceux mentionnés dans le rapport), suggérant que la pratique reste répandue et que l'Agence serbe de sécurité et d'information (Bezbedonosno-informativna agencija - BIA) et les services de sécurité serbes restent convaincus qu'ils peuvent continuer à utiliser de telles tactiques oppressives en toute impunité.
Dans une déclaration publiée le 25 février 2025, Cellebrite a annoncé avoir suspendu l'utilisation de ses produits par les « clients concernés » en Serbie à la suite du rapport d'Amnesty International de décembre 2024, qui a documenté une utilisation abusive généralisée de la technologie de Cellebrite par les autorités serbes. Les dernières découvertes de nouveaux abus font de ces suspensions une première étape nécessaire et cruciale pour mettre un terme à l'utilisation abusive continue et illégale des produits de l'entreprise.
Un exploit zero-day ciblant les pilotes USB du noyau Android identifié dans la nature
Ce billet de blog technique fournit une analyse détaillée de la manière dont le téléphone Android d'un étudiant manifestant a été exploité et déverrouillé par une chaîne d'exploit zero-day sophistiquée ciblant les pilotes USB Android, développée par Cellebrite. Amnesty International a trouvé pour la première fois des traces de cet exploit USB de Cellebrite utilisé dans une autre affaire à la mi-2024.
Ces conclusions les plus récentes montrent les dommages persistants causés par l'utilisation abusive continue des outils avancés d'extraction de téléphones mobiles de Cellebrite, même après la publication de preuves d'abus largement répandues. Étant donné que les exploits identifiés dans cette recherche ciblent les pilotes USB du noyau Linux, la vulnérabilité ne se limite pas à un appareil ou à un fournisseur particulier et pourrait affecter plus d'un milliard d'appareils Android.
En 2024, le Security Lab a partagé des preuves techniques sur cette chaîne d'exploit zero-day avec des partenaires du secteur, notamment le groupe d'analyse des menaces de Google. Ces pistes ont permis aux chercheurs en sécurité de Google d'identifier au moins trois vulnérabilités zero-day probablement exploitées dans le cadre de cette chaîne d'exploit Cellebrite. La première vulnérabilité, CVE-2024-53104, une écriture hors limite dans le pilote USB Video Class (UVC), a été corrigée dans le Bulletin de sécurité Android de février 2025.
Les vulnérabilités supplémentaires CVE-2024-53197 et CVE-2024-50302 ont été corrigées en amont dans le noyau Linux mais n'ont pas encore été incluses dans un bulletin de sécurité Android. Une analyse technique initiale de l'exploit et des vulnérabilités est présentée dans la section 3 ci-dessous.
Amnesty International souhaite remercier l'étudiant militant visé par cette campagne pour avoir partagé son histoire, ainsi que tous les partenaires qui ont soutenu cette recherche, notamment le Balkan Investigative and Reporting Network (BIRN) et la SHARE Foundation à Belgrade.
Amnesty International tient à remercier tout particulièrement Benoît Sevens, du groupe d'analyse des menaces de Google, pour sa précieuse contribution à cette enquête et pour son travail d'identification des vulnérabilités USB sous-jacentes exploitées dans cette attaque. Le Security Lab remercie également l'équipe de sécurité et de confidentialité d'Android pour son engagement actif dans la lutte contre les risques de sécurité numérique qui affectent la société civile.