iCloudHacker : le programme de 70 lignes de code qui contourne la sécurité d'iCloud
Avec la méthode de la force brute

Le , par Francis Walter, Expert éminent sénior
Knoy, utilisateur GitBut a mis en place un programme de 70 lignes de code pour contourner le système de sécurité d’Apple pour ses services iCloud. Le code du programme paraît banal avec une exécution sans suspections mais dangereux pour les utilisateurs des services iCloud.

Les utilisateurs d’iCloud ont la possibilité de verrouiller leur Macbook à distance grâce à l’application Find My Mac. Pour ce faire, un code PIN de 4 chiffres est nécessaire. Knoy vient mettre en doute cette mesure de sécurité mise en place par Apple. Il a conçu un programme nommé iCloudHacker qui lui permet de hacker le code PIN demandé par Find My Mac.

Le programme de Knoy simule une souris et un clavier à travers un port USB pour saisir des codes PIN dans l’application Find My Mac comme tout utilisateur normal sans aucun soupçon du système d’exploitation. Le programme exécute une boucle de saisie de code PIN jusqu’à obtenir le code PIN correct de l’utilisateur.

Premièrement, lorsque la machine est mise sous tension, le programme attend 5 secondes pour que la fenêtre pop-up Wi-Fi s’affiche, déplace la souris sur celle-ci et la ferme. Le programme comme alors un brute-forcing (attaque par force brute) qui consiste à saisir une à une toutes les combinaisons de mot de passe possibles grâce à sa simulation du clavier. Après un certain nombre d’essais, Find My Mac aboutit à un lock-out d’une minute.

iCloudHacker patiente comme un utilisateur normal ayant oublié son mot de passe puis recommence à nouveau. Si le programme ne parvient toujours pas à trouver la bonne combinaison, un nouveau lock-out de 5 minutes est déclenché. Mais au lieu d’attendre les 5 minutes, le programme déplace la souris sur le bouton d’arrêt de la machine et procède à un redémarrage système normal. Le procédé est répété autant de fois qu’il faut jusqu’à obtenir la bonne combinaison.

Knoy estime le temps maximum nécessaire pour obtenir la bonne combinaison de code de PIN à 60 heures. Il aurait testé son programme avec succès sur des MacBooks 2010 et 2012. Après un succès de l’attaque, la LED de la machine commence à clignoter pour signaler le succès de l’attaque.

Source : Github

Et vous ?

Apple doit-elle s’inquiéter pour ses services iCloud ?

Quelles mesures devrait-elle prendre pour prévenir ce genre d’attaque ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de tonnebrre tonnebrre - Membre du Club http://www.developpez.com
le 04/03/2014 à 10:46
waw ça fait plaisir mais c'est nuisible à la santé informatique.
Avatar de spyserver spyserver - Membre averti http://www.developpez.com
le 04/03/2014 à 11:57
Ouai ok c'est juste de la force brute, le hack de base quoi ... Apple ne garde pas l'info coté serveur concernant le nbre d'essai, il est la le pb ... pas besoin d'aller plus loin ...
Avatar de Tibimac Tibimac - Membre du Club http://www.developpez.com
le 04/03/2014 à 11:58
Aucune barrière n'est infranchissable c'est toujours une simple question de temps, temps qui souvent réduit si on a un accès physique à la machine.

Ici pour fonctionner on doit avoir un accès physique à la machine, d'autant plus que si celle-ci a été verrouillée c'est qu'elle a probablement été volée et il faut 60h.

Si on a peur une fois la machine volée on verrouille avec le mot de passe et si au bout d'environ 60h on ne l'as toujours pas retrouvé il faut lancé l'effacement à distance.

Néanmoins ce programme peut être utile. C'est déjà vu des personnes qui suite à une rupture amoureuse qui c'est à priori mal passée le mec avait verrouillé via iCloud le Mac de son ex, celle-ci n'ayant plus d'autre possibilité que le formatage et l'éventuelle perte de données quand on a pas de sauvegarde.
Ce programme pourrait permettre d'éviter la perte de données.
Avatar de gangsoleil gangsoleil - Modérateur http://www.developpez.com
le 04/03/2014 à 13:47
Citation Envoyé par spyserver  Voir le message
Ouai ok c'est juste de la force brute, le hack de base quoi ... Apple ne garde pas l'info coté serveur concernant le nbre d'essai, il est la le pb ... pas besoin d'aller plus loin ...

Si si, il y a besoin d'aller plus loin. Apple a decide de "proteger" les comptes avec un simple code PIN a 4 chiffres, soit 1000 combinaisons au total... Niveau securite, c'est extremement faible -- la preuve, c'est qu'il faut 60 heures en brut-force !

Ce qui est inquietant a mon sens, c'est qu'une entreprise qui fournisse un acces cloud decide d'offrir des acces avec des codes PIN a 4 chiffres, au lieu de chercher, et de fournir, des solutions securisees.
Avatar de spyserver spyserver - Membre averti http://www.developpez.com
le 04/03/2014 à 13:54
Je suis d'accord que le code PIN à 4 chiffres est plus que limite pour protéger un service de cloud, ceci étant, en restreignant l'authentification avec nombre d'essais maximum fixé (à 5 par ex) puis ré-activation après email + captcha comme bcp de services le propose, ça va déjà quand même bien limiter la casse ...
Avatar de alex.buisson alex.buisson - Membre du Club http://www.developpez.com
le 04/03/2014 à 13:58
Stocker & Exploiter l'IP et le nombre de tentative dans les X dernières heurs semble être un bon moyen de détecter ce type d'attaque, mais ils sont très nombreux les sites qui n'utilisent aucune sécurité de ce type par exemple je crois que pour facebook ce type d'attaque marche aussi (je dois avoir un script bruteforce.py qui traine dans ma virtual machine BackTrack )....

Il n'y aura jamais de procédé sure à 100%.... puisque l'erreur est humaine !
Avatar de alex.buisson alex.buisson - Membre du Club http://www.developpez.com
le 04/03/2014 à 14:00
Citation Envoyé par gangsoleil  Voir le message
Si si, il y a besoin d'aller plus loin. Apple a decide de "proteger" les comptes avec un simple code PIN a 4 chiffres, soit 1000 combinaisons au total... Niveau securite, c'est extremement faible -- la preuve, c'est qu'il faut 60 heures en brut-force !

Ce qui est inquietant a mon sens, c'est qu'une entreprise qui fournisse un acces cloud decide d'offrir des acces avec des codes PIN a 4 chiffres, au lieu de chercher, et de fournir, des solutions securisees.

Ca c'est vrai, à l'heure ou beaucoup de service mettent en place l'authentification à 2 étapes, le code à 4 chiffres c'est effectivement très "light"!
Avatar de Saverok Saverok - Expert éminent http://www.developpez.com
le 04/03/2014 à 14:23
Le plus ironique là-dedans c'est qu'il y a eu un sondage très récemment qui indiquait qu'Apple était l'une des entreprises les plus secure au monde !
En même temps, c'est un sondage auprès des utilisateurs lambda très réceptifs au marketing, rien à voir avec des professionnels de l'IT.

Un code PIN ? Quelle vaste blague !!
C'était trop coûteux de faire un code alpha numérique sur 6 caractères mini ? ou encore de la double authentification ??

Je sens que ça va donner lieu à pas mal de vannes sur la iSecurity by Apple
Avatar de steel-finger steel-finger - Membre habitué http://www.developpez.com
le 04/03/2014 à 15:05
Stocker & Exploiter l'IP et le nombre de tentative dans les X dernières heurs semble être un bon moyen de détecter ce type d'attaque, mais ils sont très nombreux les sites qui n'utilisent aucune sécurité de ce type par exemple je crois que pour facebook ce type d'attaque marche aussi (je dois avoir un script bruteforce.py qui traine dans ma virtual machine BackTrack )....

Il n'y aura jamais de procédé sure à 100%.... puisque l'erreur est humaine !

Facebook n'a pas ce type de login, les attaques par bruteforce sont détecté chez eu.
Avatar de spyserver spyserver - Membre averti http://www.developpez.com
le 04/03/2014 à 15:25
Oui et puis de toutes façons, quoiqu'on dise plus un système est exposé plus sa sécurité doit être élevé (quid des OS Unix qui n'ont jamais eu besoin d'antivirus car "unexposed"), forcément FB a du blinder sa forteresse pr ce genre d'attaque.

Il sembe qu'Apple en revanche ait complètement sous-estimé ses utilisateurs, et oui il n'y a pas que des Apple-Addict il y a aussi des gens qui réfléchissent un peu au sujet et qui hack :-)
Offres d'emploi IT
Développeur mobile (H/F)
EVOLUTIC - Rhône Alpes - Lyon (69000)
Chef de projet banque H/F
Sogeti France - Nord Pas-de-Calais - Lille (59000)
Développeur. net c# agile h/f
Younited Credit - Ile de France - Paris (75000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil