Indignatie redactie 
Uw smartphone is toegankelijk zonder dat u het weet… onder welke voorwaarden is dit legaal?
Het is heel gebruikelijk om tegenwoordig te horen over smartphone-compromissen: deze inbraken maken toegang mogelijk tot gegevens die op de smartphone zijn opgeslagen, of de installatie van spyware. Tegenwoordig is het juist de complexiteit van smartphones die ze zo kwetsbaar maakt voor indringers (architectuur, bediening) en zo moeilijk volledig te beveiligen zijn vanuit technisch oogpunt.
Het Pegasus-schandaal maakte in 2021 aan het grote publiek duidelijk dat telefooninbraken of aanvallen op afstand kunnen worden uitgevoerd, wanneer deze namens buitenlandse overheden zijn gebruikt tegen journalisten (met name van Mediapart). Zelfs Jeff Besos , de CEO van Amazon, zou op afstand zijn gehackt door een simpele video die via WhatsApp-berichten werd verzonden.
Omgekeerd stelt de exploitatie van gebreken in beveiligde telefoons die voor criminelen zijn bedoeld, de rechtshandhaving ook in staat grote criminele netwerken te ontmantelen – dit is bijvoorbeeld het geval in de EncroChat-affaire , waarvan de processen momenteel gaande zijn.
Deze voorbeelden illustreren de voortdurende spanning tussen de noodzaak om toegang te krijgen tot beschermde gegevens voor onderzoeken die worden uitgevoerd om burgers te beschermen, en de noodzaak om burgers te beschermen tegen misbruik van deze toegang. Moeten we telefoons dus vanuit technisch oogpunt zo veilig mogelijk maken, of juist ‘achterdeurtjes’ creëren voor politie en inlichtingendiensten?
Wie heeft – en zal – het recht hebben om smartphones binnen te dringen?
In Frankrijk geven het Wetboek van Strafvordering en het Wetboek van Interne Veiligheid respectievelijk de gerechtelijke politiediensten en de inlichtingendiensten toestemming om computergegevens vast te leggen, dat wil zeggen om informatie te herstellen zoals deze op iemands scherm (of op externe apparaten) verschijnt, zonder dat deze gegevens nodig zijn. op de hoogte zijn.
Sinds de wet van 23 maart 2019 betreffende de programmering voor 2018-2022 en de hervorming van justitie is het zelfs mogelijk om staatsmiddelen te gebruiken die onderworpen zijn aan het nationale defensiegeheim om de gegevens zoals opgeslagen in een computersysteem vast te leggen, te bewaren of door te geven. Daarbij komt nog de mogelijkheid voor de Staat om deskundigen – in dit geval gespecialiseerde particuliere bedrijven – opdracht te geven deze systemen binnen te dringen.
In 2023 heeft de regering opnieuw geprobeerd de middelen waarover de politie beschikt te vergroten door in het ontwerp van de oriëntatie- en programmeringswet van het Ministerie van Justitie 2023-2027 een bepaling op te nemen met betrekking tot de activering van elektronische apparaten op afstand zonder medeweten van de eigenaar of bezitter om ze in realtime te lokaliseren, activeer de microfoon of camera en herstel de opnames.
Deze zeer controversiële bepaling werd op 16 november 2023 gedeeltelijk gecensureerd door de Constitutionele Raad. Hij was van mening dat de activering op afstand van de microfoon of camera van een elektronisch apparaat een onevenredige aanval vormt op het recht op respect voor het privéleven, met name omdat hierdoor te beluisteren of te filmen derden die geen verband houden met de onderhavige zaak .
Alleen de mogelijkheid om een persoon in realtime te geolokaliseren door middel van het op afstand activeren van zijn telefoon of een ander computerapparaat, zoals het dashboard van een voertuig, is in overeenstemming met de grondwet verklaard.
Hoe zijn inbraken technisch mogelijk?
Ongeacht de wettigheid van een dergelijke actie, kan men technisch gezien een smartphone binnendringen door gebruik te maken van de “kwetsbaarheden”, dat wil zeggen door bestaande gebreken op hardware- of softwareniveau te gebruiken .
De uitbuiting van kwetsbaarheden is vandaag de dag een veelvoorkomend verschijnsel, aangezien de indringers veelvoudig zijn en zich op verschillende niveaus bevinden. Aanvallen kunnen op afstand worden uitgevoerd, via het netwerk, of rechtstreeks op de telefoon als deze fysiek toegankelijk is, bijvoorbeeld als een smartphone tijdens een huiszoeking in beslag wordt genomen.
In dit geval maken aanvallers bijvoorbeeld gebruik van een ‘side channel aanval’ (met name het stroomverbruik van een telefoon kan informatie onthullen); kunstmatige fouten creëren (door “foutinjectie” ), of smartcards of microprocessors fysiek aanvallen. Deze aanvallen maken het mogelijk om de coderingssleutels te herstellen die toegang geven tot de gegevens van de gebruiker die op de telefoon zijn opgeslagen. Dit was bijvoorbeeld het onderwerp van het Europese project EXFILES .
Als we door de lagen van de telefoon heen gaan , is het mogelijk om de fouten in de besturingssystemen van de telefoon te misbruiken (met andere woorden: hun bugs). Hoe complexer en functioneler een systeem is, hoe moeilijker het is om het te beveiligen, of zelfs om de verwachte beveiligingseigenschappen te definiëren .
Bovendien is een aanval alleen in de meeste gevallen niet voldoende om in te breken in de doeltelefoon. Daarom combineert een moderne exploit vele kwetsbaarheden en technieken om de huidige tegenmaatregelen te omzeilen .
Ten slotte kunnen inbraken zich richten op applicaties die op de smartphone zijn geïnstalleerd of op communicatieprotocollen. In dit geval zijn kritieke fasen van het gebruik van applicaties het doelwit: zoals sleutelonderhandelingen, het koppelen van apparaten of zelfs draadloze firmware- updates . Zo ontdekte het ‘Project Zero’- team van Google in 2019 op afstand exploiteerbare kwetsbaarheden op iPhones (ook al staan ze bekend om hun goede beveiligingsniveau), waardoor het mogelijk werd om met een simpel smsje de controle over de telefoon over te nemen.
Net als dit team ontdekken en rapporteren veel onderzoekers en fabrikanten kwetsbaarheden, simpelweg om ze te laten repareren. Aan de andere kant profiteren andere bedrijven door ‘exploits’ te creëren – een reeks complexe kwetsbaarheden en technieken die het mogelijk maken dat smartphones worden uitgebuit tegen hun gebruikers en worden verkocht aan de hoogste bieder – inclusief staten – voor bedragen tot enkele miljoenen euro’s .
Moeten we meer veiligheid bieden of juist ‘achterdeurtjes’ creëren?
In tien jaar tijd is het beveiligingsniveau aanzienlijk geëvolueerd. Particuliere exploitanten voeren de technische maatregelen op om een steeds hoger beveiligingsniveau te garanderen, bijvoorbeeld met nieuwe programmeertalen of beveiligingsmodi op hoog niveau, zoals de ‘lockdown’-modus op iPhones , die veel functies uitschakelen en daardoor de het ‘aanvalsoppervlak’ .
Het is echter onmogelijk om complexe en 100% veilige systemen aan te bieden, vooral omdat de menselijke factor altijd zal blijven bestaan. In sommige gevallen kan de telefoon worden gehackt op een manier die volledig transparant is voor de gebruiker; dit is een ‘zero click’-aanval. In andere gevallen is nog steeds tussenkomst van de gebruiker vereist: klikken op een link of het openen van een bijlage wordt beschouwd als een aanval met één klik. Hoe dan ook blijven bedrog , fysieke, psychologische of juridische dwang vaak een effectief en snel middel om toegang te krijgen tot gegevens.
De toenemende problemen bij het penetreren van smartphones dwingen de politiediensten, met name via de stem van hun minister in oktober 2023, om regelmatig te verzoeken om de oprichting van ‘achterdeurtjes’ die geprivilegieerde toegang tot telefoons mogelijk maken.
Zo wilde de NSA in de jaren negentig telecommunicatiefabrikanten en -exploitanten een encryptie-chip opleggen, de “Clipper Chip” , die een dergelijke achterdeur bevatte waardoor inlichtingendiensten communicatie konden ontsleutelen.
In dezelfde geest nemen politiediensten soms contact op met fabrikanten om hen toegang te geven tot apparatuur, wat spanningen veroorzaakt met particuliere exploitanten. In 2019 ontkende Apple dergelijke toegang aan de FBI , die uiteindelijk een hardwareaanval op de betreffende telefoon gebruikte.
Meer recentelijk, in november 2023, verzetten veel onderzoekers zich tegen een artikel in de Europese eIDAS-verordening dat browsers zou dwingen certificaten op te nemen die zijn opgelegd door Europese overheden. Dergelijke certificaten zouden het mogelijk maken om beveiligde communicatie (HTTPS) van burgers te onderscheppen, zonder dat browseruitgevers deze certificaten kunnen intrekken als ze oneigenlijk worden gebruikt.
Wij zijn van mening dat het verminderen van de beveiliging van systemen door het introduceren van achterdeurtjes de veiligheid van iedereen schaadt. Integendeel, de toenemende veiligheid van smartphones beschermt burgers, vooral in landen waar individuele vrijheden worden betwist.
Als massaal toezicht en het inbouwen van achterdeurtjes in producten een gevaar voor de democratie vormen, zou het uitbuiten van bestaande kwetsbaarheden dan een meer ‘democratische’ manier zijn om informatie te verzamelen voor juridische doeleinden? Deze technieken zijn inderdaad noodzakelijkerwijs doelgerichter, hun kosten zijn hoog… en als deze fouten op grote schaal worden uitgebuit, worden ze snel opgespoord en gecorrigeerd. Hoe lang zal dit economisch haalbaar zijn voor politie en justitie, nu de telefoonbeveiliging steeds verder toeneemt?
Hoewel de eliminatie van alle kwetsbaarheden ongetwijfeld een illusie is, worden de kosten van de ontdekking en exploitatie ervan exorbitant hoog of zal de evolutie van technieken voor het ontdekken van kwetsbaarheden het mogelijk maken om de kosten ervan te verlagen ?
