IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

iCloudHacker : le programme de 70 lignes de code qui contourne la sécurité d'iCloud
Avec la méthode de la force brute

Le , par Francis Walter
25 commentaires

290PARTAGES

2  0 
Knoy, utilisateur GitBut a mis en place un programme de 70 lignes de code pour contourner le système de sécurité d’Apple pour ses services iCloud. Le code du programme paraît banal avec une exécution sans suspections mais dangereux pour les utilisateurs des services iCloud.

Les utilisateurs d’iCloud ont la possibilité de verrouiller leur Macbook à distance grâce à l’application Find My Mac. Pour ce faire, un code PIN de 4 chiffres est nécessaire. Knoy vient mettre en doute cette mesure de sécurité mise en place par Apple. Il a conçu un programme nommé iCloudHacker qui lui permet de hacker le code PIN demandé par Find My Mac.

Le programme de Knoy simule une souris et un clavier à travers un port USB pour saisir des codes PIN dans l’application Find My Mac comme tout utilisateur normal sans aucun soupçon du système d’exploitation. Le programme exécute une boucle de saisie de code PIN jusqu’à obtenir le code PIN correct de l’utilisateur.

Premièrement, lorsque la machine est mise sous tension, le programme attend 5 secondes pour que la fenêtre pop-up Wi-Fi s’affiche, déplace la souris sur celle-ci et la ferme. Le programme comme alors un brute-forcing (attaque par force brute) qui consiste à saisir une à une toutes les combinaisons de mot de passe possibles grâce à sa simulation du clavier. Après un certain nombre d’essais, Find My Mac aboutit à un lock-out d’une minute.

iCloudHacker patiente comme un utilisateur normal ayant oublié son mot de passe puis recommence à nouveau. Si le programme ne parvient toujours pas à trouver la bonne combinaison, un nouveau lock-out de 5 minutes est déclenché. Mais au lieu d’attendre les 5 minutes, le programme déplace la souris sur le bouton d’arrêt de la machine et procède à un redémarrage système normal. Le procédé est répété autant de fois qu’il faut jusqu’à obtenir la bonne combinaison.

Knoy estime le temps maximum nécessaire pour obtenir la bonne combinaison de code de PIN à 60 heures. Il aurait testé son programme avec succès sur des MacBooks 2010 et 2012. Après un succès de l’attaque, la LED de la machine commence à clignoter pour signaler le succès de l’attaque.

Source : Github

Et vous ?

Apple doit-elle s’inquiéter pour ses services iCloud ?

Quelles mesures devrait-elle prendre pour prévenir ce genre d’attaque ?

Une erreur dans cette actualité ? Signalez-nous-la !

25 commentaires
Commenter Signaler un problème
gangsoleil
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 04/03/2014 à 13:47
Citation Envoyé par spyserver Voir le message
Ouai ok c'est juste de la force brute, le hack de base quoi ... Apple ne garde pas l'info coté serveur concernant le nbre d'essai, il est la le pb ... pas besoin d'aller plus loin ...
Si si, il y a besoin d'aller plus loin. Apple a decide de "proteger" les comptes avec un simple code PIN a 4 chiffres, soit 1000 combinaisons au total... Niveau securite, c'est extremement faible -- la preuve, c'est qu'il faut 60 heures en brut-force !

Ce qui est inquietant a mon sens, c'est qu'une entreprise qui fournisse un acces cloud decide d'offrir des acces avec des codes PIN a 4 chiffres, au lieu de chercher, et de fournir, des solutions securisees.
2  1 
Saverok
Avatar de Saverok
Expert éminent https://www.developpez.com
Le 04/03/2014 à 14:23
Le plus ironique là-dedans c'est qu'il y a eu un sondage très récemment qui indiquait qu'Apple était l'une des entreprises les plus secure au monde !
En même temps, c'est un sondage auprès des utilisateurs lambda très réceptifs au marketing, rien à voir avec des professionnels de l'IT.

Un code PIN ? Quelle vaste blague !!
C'était trop coûteux de faire un code alpha numérique sur 6 caractères mini ? ou encore de la double authentification ??

Je sens que ça va donner lieu à pas mal de vannes sur la iSecurity by Apple
2  1 
miky55
Avatar de miky55
Membre averti https://www.developpez.com
Le 04/03/2014 à 20:48
Citation Envoyé par gangsoleil Voir le message
Si si, il y a besoin d'aller plus loin. Apple a decide de "proteger" les comptes avec un simple code PIN a 4 chiffres, soit 1000 combinaisons au total... Niveau securite, c'est extremement faible -- la preuve, c'est qu'il faut 60 heures en brut-force !

Ce qui est inquietant a mon sens, c'est qu'une entreprise qui fournisse un acces cloud decide d'offrir des acces avec des codes PIN a 4 chiffres, au lieu de chercher, et de fournir, des solutions securisees.
C'est marrant mais apparemment, à part Tibimac, quasiment personne n'a compris de quoi il s'agit: ce n'est pas le compte iCloud qui est protégé par un pin, mais le macbook après que son propriétaire ai décidé de le bloquer à distance. Le nombre de tentatives n'est pas stockée sur un serveur puisque l'attaque se fait offline... Une fois le pin récupéré l'attaquant n'aura pas accès au compte iCloud mais uniquement au mac (à priori volé).

Toutes les allusions à la double authentification ou à la sécurité de Facebook sont complètement hors sujet. Bref, le voleur à plus intérêt à reformater la machine plutôt que d'utiliser cet exploit moyen-ageu...
1  0 
tonnebrre
Avatar de tonnebrre
Membre du Club https://www.developpez.com
Le 04/03/2014 à 10:46
waw ça fait plaisir mais c'est nuisible à la santé informatique.
0  0 
spyserver
Avatar de spyserver
Membre confirmé https://www.developpez.com
Le 04/03/2014 à 11:57
Ouai ok c'est juste de la force brute, le hack de base quoi ... Apple ne garde pas l'info coté serveur concernant le nbre d'essai, il est la le pb ... pas besoin d'aller plus loin ...
0  0 
Tibimac
Avatar de Tibimac
Membre du Club https://www.developpez.com
Le 04/03/2014 à 11:58
Aucune barrière n'est infranchissable c'est toujours une simple question de temps, temps qui souvent réduit si on a un accès physique à la machine.

Ici pour fonctionner on doit avoir un accès physique à la machine, d'autant plus que si celle-ci a été verrouillée c'est qu'elle a probablement été volée et il faut 60h.

Si on a peur une fois la machine volée on verrouille avec le mot de passe et si au bout d'environ 60h on ne l'as toujours pas retrouvé il faut lancé l'effacement à distance.

Néanmoins ce programme peut être utile. C'est déjà vu des personnes qui suite à une rupture amoureuse qui c'est à priori mal passée le mec avait verrouillé via iCloud le Mac de son ex, celle-ci n'ayant plus d'autre possibilité que le formatage et l'éventuelle perte de données quand on a pas de sauvegarde.
Ce programme pourrait permettre d'éviter la perte de données.
0  0 
spyserver
Avatar de spyserver
Membre confirmé https://www.developpez.com
Le 04/03/2014 à 13:54
Je suis d'accord que le code PIN à 4 chiffres est plus que limite pour protéger un service de cloud, ceci étant, en restreignant l'authentification avec nombre d'essais maximum fixé (à 5 par ex) puis ré-activation après email + captcha comme bcp de services le propose, ça va déjà quand même bien limiter la casse ...
0  0 
alex.buisson
Avatar de alex.buisson
Membre du Club https://www.developpez.com
Le 04/03/2014 à 13:58
Stocker & Exploiter l'IP et le nombre de tentative dans les X dernières heurs semble être un bon moyen de détecter ce type d'attaque, mais ils sont très nombreux les sites qui n'utilisent aucune sécurité de ce type par exemple je crois que pour facebook ce type d'attaque marche aussi (je dois avoir un script bruteforce.py qui traine dans ma virtual machine BackTrack )....

Il n'y aura jamais de procédé sure à 100%.... puisque l'erreur est humaine !
0  0 
alex.buisson
Avatar de alex.buisson
Membre du Club https://www.developpez.com
Le 04/03/2014 à 14:00
Citation Envoyé par gangsoleil Voir le message
Si si, il y a besoin d'aller plus loin. Apple a decide de "proteger" les comptes avec un simple code PIN a 4 chiffres, soit 1000 combinaisons au total... Niveau securite, c'est extremement faible -- la preuve, c'est qu'il faut 60 heures en brut-force !

Ce qui est inquietant a mon sens, c'est qu'une entreprise qui fournisse un acces cloud decide d'offrir des acces avec des codes PIN a 4 chiffres, au lieu de chercher, et de fournir, des solutions securisees.
Ca c'est vrai, à l'heure ou beaucoup de service mettent en place l'authentification à 2 étapes, le code à 4 chiffres c'est effectivement très "light"!
0  0 
steel-finger
Avatar de steel-finger
Membre confirmé https://www.developpez.com
Le 04/03/2014 à 15:05

Stocker & Exploiter l'IP et le nombre de tentative dans les X dernières heurs semble être un bon moyen de détecter ce type d'attaque, mais ils sont très nombreux les sites qui n'utilisent aucune sécurité de ce type par exemple je crois que pour facebook ce type d'attaque marche aussi (je dois avoir un script bruteforce.py qui traine dans ma virtual machine BackTrack )....

Il n'y aura jamais de procédé sure à 100%.... puisque l'erreur est humaine !
Facebook n'a pas ce type de login, les attaques par bruteforce sont détecté chez eu.
0  0 
Commenter Signaler un problème