Apple va améliorer le chiffrement des données sur iPhone
Une mesure qui ne plait pas aux forces de l'ordre qui le traitent de complice des criminels

Le , par Stéphane le calme, Chroniqueur Actualités
Apple a longtemps vanté son iPhone comme étant un dispositif suffisamment sécurisé pour que seul son propriétaire soit à mesure de le déverrouiller. Une vision un peu édulcorée de la réalité qui a quand même tenu l’éditeur d’iOS loin de toutes formes de bug bounty avant son bras de fer avec les forces de l’ordre.

Pour rappel, ces dernières souhaitaient qu’Apple installe un mécanisme qui permette de contourner sa propre sécurité. Apple ayant refusé de le faire, mettant en avant le fait que cela pourrait nuire à la sécurité de ses dispositifs de par le monde, le FBI a fait appel à une entité tierce qui a profité d’une vulnérabilité pour parvenir à son but. Depuis, Apple a décidé de lancer à son tour un Bug Bounty, au même titre que les autres enseignes technologiques.

Pour se positionner à nouveau comme le champion de la sécurité, Apple a annoncé mercredi qu'il allait améliorer le chiffrement des données sur ses iPhone afin de mieux contrer des pirates informatiques ou des policiers trop zélés. Ces nouvelles mesures arrivent à un moment où un nouvel outil appelé GrayKey, que l'on dit capable de déverrouiller les iPhone, commence à se faire une réputation dans les milieux technologiques.

« Nous mettons le client au centre de tout », a expliqué Apple dans un communiqué mercredi. « Nous renforçons sans relâche nos protections de sécurité dans chaque produit Apple pour aider nos clients à se défendre contre les hackeurs »

Le constructeur a confirmé à Reuters la présence d'une fonction qui interdit à un appareil branché sur le port Lightning de l'iPhone ou de l'iPad d'accéder à son contenu si l'utilisateur ne s'est pas identifié dans la dernière heure.

L'option, qui est apparue dans la première bêta d'iOS 11.4.1 et elle est aussi présente dans la préversion d'iOS 12, se trouve dans les réglages Face ID et code, en bas du panneau. En la désactivant, on empêche effectivement la connexion d'accessoires USB si l'iPhone est verrouillé depuis plus d'une heure. Pour Apple, cette fonction permet de couper l'herbe sous le pied aux forces de police et aux agences à acronymes de fouiller dans les données d'un terminal avec l'aide d'un boîtier GrayKey par exemple.


Le boîtier GrayKey qui permet de « casser » les protections de deux appareils iOS à la fois.

Vous voulez déverrouiller un iPhone ? Par là cela ne sera plus possible

Une décision qui semble mettre les forces de l’ordre en colère et qui pourrait bien relancer la question sur le fait de savoir si le gouvernement a le droit d’entrer dans les dispositifs personnels de la vie moderne est désormais relancée.

Avec cette fonction, pour transférer des données depuis ou vers l'iPhone via le port, une personne devra alors entrer le mot de passe du téléphone si celui-ci a été verrouillé depuis plus d’une heure. Un tel changement va gêner les forces de l’ordre, qui ont généralement déverrouillé des iPhones en connectant un autre appareil exécutant un logiciel spécial sur le port, souvent des jours ou même des mois après le dernier déverrouillage du smartphone. Les nouvelles de la mise à jour programmée d'Apple ont commencé à se propager à travers les blogs de sécurité, ce qui a eu pour résultat de mettre en colère de nombreuses agences d'investigation.

« Si nous revenons à la situation où nous n'avons plus d’accès, alors nous aurons perdu tellement de preuves et il y aura tellement d’enfants que nous ne pourrons plus mettre dans une position de sécurité », a déclaré Chuck Cohen, qui dirige un groupe de travail de la police de l'État de l'Indiana sur les crimes sur Internet contre les enfants. La police de l'État de l'Indiana a déclaré avoir débloqué 96 iPhones pour divers cas cette année, chaque fois avec un mandat, en utilisant un appareil de 15 000 $ qu'elle a acheté en mars auprès d'une compagnie appelée Grayshift.

Une décision qui ne fait pas l’unanimité

Cependant, pour les défenseurs de la vie privée, Apple a raison de corriger cette faille de sécurité qui est devenue plus facile et moins coûteuse à exploiter : « C'est une très grande vulnérabilité dans les téléphones d'Apple », a déclaré Matthew D. Green, professeur de cryptographie à l'Université Johns Hopkins. Selon lui, un dispositif de Grayshift sur un bureau dans un poste de police pourrait très facilement se retrouver dans d’autres mains.

Dans un courriel adressé au New York Times, un porte-parole d'Apple, Fred Sainz, a déclaré que l'entreprise renforçait constamment les protections de sécurité et corrigeait toute vulnérabilité détectée dans ses téléphones, en partie parce que les criminels pouvaient également exploiter les mêmes failles. « Nous avons le plus grand respect pour les forces de l’ordre, et nous ne concevons pas nos améliorations de la sécurité pour réduire à néant leurs efforts dans l’amélioration de leur travail ».

Apple et Google, qui développent les logiciels utilisés dans presque tous les smartphones du monde, ont commencé à chiffrer leurs systèmes d’exploitation mobile en 2014. L’objectif est de brouiller les données pour les rendre illisibles, à moins de disposer d’une clé spéciale (qui peut être un mot de passe). Une stratégie qui n’a pas enchanté les forces de l’ordre.


Rappelons d’ailleurs que plusieurs élus de par le monde veulent se battre contre le chiffrement, mettant en avant la dimension sécurité nationale. L’argument est souvent le même : « puisque les terroristes utilisent WhatsApp pour communiquer, alors WhatsApp doit nous permettre de lire les conversations ». Les demandes quant à elles peuvent varier. Certains veulent des portes dérobées, d’autres une utilisation de mécanisme de chiffrement moins efficace.

Une stratégie qui n’est pas nouvelle chez Apple

Il faut préciser que ce n’est pas la première fois qu’Apple ferme des failles dans la sécurité de ses dispositifs. Pendant des années, la police pouvait utiliser la force brute en se servant d’un logiciel qui allait tester toutes les combinaisons possibles de mots de passe jusqu’à ce que le téléphone soit déverrouillé. Apple a décidé alors d’y mettre fin en désactivant les iPhones après un nombre limité de saisis de mauvais mots de passe. Cependant, selon Green, les logiciels Grayshift et Cellebrite semblent pouvoir désactiver cette technologie Apple, permettant à leurs appareils de tester des milliers de codes d'accès.

Les organismes d'application de la loi qui ont acheté un dispositif GrayKey comprennent la Drug Enforcement Administration, qui a acheté un modèle avancé cette année pour 30 000 $, selon les dossiers publics. La police d'État du Maryland en a un, tout comme les services de police de Portland, en Oregon, et de Rochester, au Minnesota, selon les registres.


Apple, défenseur des criminels ? Oui, pour un procureur

Hillar Moore, procureur de Baton Rouge (capitale de la Louisiane), a déclaré que son bureau avait versé à Cellebrite des milliers de dollars pour débloquer des iPhones dans cinq affaires depuis 2017, notamment une enquête sur la mort d'un engagement de fraternité à la Louisiana State University. Il a dit que les téléphones avaient fourni des informations cruciales, et il était contrarié qu'Apple ait prévu de fermer une telle avenue d'investigation utile.

« Ils protègent de manière flagrante les activités criminelles, et seulement sous le couvert de la vie privée pour leurs clients », a-t-il estimé.

Michael Sachs, un procureur de district adjoint à Manhattan, a déclaré que son bureau utilise des solutions de contournement (il a refusé de préciser lequel) pour accéder à des iPhones verrouillés plusieurs fois par semaine. Cela a permis de résoudre une série de cas ces derniers mois, notamment en se connectant à un iPhone pour trouver des vidéos d'un suspect qui agressait sexuellement un enfant. L'homme en question a été condamné cette année.


Le jeu du chat et de la souris

Au cours des dix premiers mois de 2017, le bureau du procureur de Manhattan a déclaré avoir récupéré et obtenu des mandats ou avoir consenti à fouiller 702 smartphones verrouillés, dont les deux tiers étaient des iPhones. Les smartphones exécutant le logiciel Android de Google sont généralement plus faciles d'accès, en partie parce que de nombreux appareils plus anciens ne sont pas chiffrés.

Le chiffrement sur les smartphones s'applique uniquement aux données stockées uniquement sur le téléphone. Des entreprises comme Apple et Google donnent régulièrement aux responsables de l'application de la loi l'accès aux données que les consommateurs sauvegardent sur leurs serveurs, par exemple via le service iCloud d'Apple. Apple a déclaré que depuis 2013, il a répondu à plus de 55 000 demandes du gouvernement des États-Unis à la recherche d'informations sur plus de 208 000 appareils, comptes ou identifiants financiers.

Selon Michelle Richardson, analyste au Centre pour la démocratie et la technologie, qui soutient les protections de la vie privée en ligne, la dernière initiative d'Apple fait partie d'un jeu de chat et de souris entre les entreprises technologiques et les forces de l'ordre.

« Les gens s'attendaient toujours à ce qu'il y ait un va-et-vient. Notamment que le gouvernement puisse hacker ces appareils, puis qu'Apple décide de boucher la faille et que les hackers trouvent une autre solution », a-t-elle déclaré.

Sources : Reuters, New York Times

Et vous ?

Que pensez-vous de cette décision d'Apple ?

Voir aussi :

Un mauvais usage de l'API de vérification du code signé avec l'outil d'Apple pourrait rendre du code malicieux indétectable sur macOS, selon Pitts
WWDC 2018 : Apple lance WatchOS 5, le nouvel OS de sa smartwatch qui intègre le mode Walkie Talkie, les podcasts, la détection de work-out
Apple tacle Facebook en présentant de nouvelles mesures anti-traçage dans Safari, bientôt la fin du pistage des internautes ?
Fonctionnalités clés liées aux développeurs introduites dans macOS 10.14 : Apple note la dépréciation d'OpenGL et OpenCL
WWDC 2018 : Apple dévoile Mojave, le nouveau macOS 10.14 qui succèdera à High Sierra et introduit le support des applications iOS sur Mac


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 15/06/2018 à 10:36
Des experts suggèrent que Grayshift aurait trouvé un moyen de contourner la nouvelle fonctionnalité de sécurité sur iPhone
coup de bluff ou réalité ?

Pour se positionner à nouveau comme le champion de la sécurité, Apple a annoncé mercredi qu'il allait améliorer le chiffrement des données sur ses iPhone afin de mieux contrer des pirates informatiques ou des policiers trop zélés. Ces nouvelles mesures arrivent à un moment où un nouvel outil appelé GrayKey, que l'on dit capable de déverrouiller les iPhone, commence à se faire une réputation dans les milieux technologiques.

« Nous mettons le client au centre de tout », a expliqué Apple dans un communiqué mercredi. « Nous renforçons sans relâche nos protections de sécurité dans chaque produit Apple pour aider nos clients à se défendre contre les hackeurs »

Le constructeur a confirmé à Reuters la présence d'une fonction qui interdit à un appareil branché sur le port Lightning de l'iPhone ou de l'iPad d'accéder à son contenu si l'utilisateur ne s'est pas identifié dans la dernière heure.

Bien entendu, la fonctionnalité n’a pas été applaudie par les forces de l’ordre, car l’accès aux téléphones mobiles allait devenir plus difficile. « Si nous revenons à la situation où nous n'avons plus d’accès, alors nous aurons perdu l’accès à tellement de preuves et il y aura tellement d’enfants que nous ne pourrons plus mettre dans une position de sécurité », a déclaré Chuck Cohen, qui dirige un groupe de travail de la police de l'État de l'Indiana sur les crimes sur Internet contre les enfants. La police de l'État de l'Indiana a déclaré avoir débloqué 96 iPhones pour divers cas cette année, chaque fois avec un mandat, en utilisant un appareil de 15 000 $ qu'elle a acheté en mars auprès d'une compagnie appelée Grayshift.

Hillar Moore, procureur de Baton Rouge (capitale de la Louisiane), a déclaré que son bureau avait versé à Cellebrite des milliers de dollars pour débloquer des iPhones dans cinq affaires depuis 2017, notamment une enquête sur la mort d'un engagement de fraternité à la Louisiana State University. Il a dit que les téléphones avaient fourni des informations cruciales, et il était contrarié qu'Apple ait prévu de fermer une telle avenue d'investigation utile.

« Ils protègent de manière flagrante les activités criminelles, et seulement sous le couvert de la vie privée pour leurs clients », a-t-il estimé.


Le jeu est loin d’être terminé.

Des experts en cybersécurité ont suggéré que Grayshift, la société derrière la technologie utilisée par les forces de l’ordre, n'a pas dit son dernier mot.

« Grayshift s'est donné beaucoup de mal pour tester sa technologie à venir et a déclaré être déjà venu à bout de cette fonctionnalité de sécurité dans la version bêta. En outre, GrayKey a d’autres capacités qui seront exploitées au fil du temps », a déclaré un expert en sécurité même si MB, qui a transmis le message, ne sait pas si cela est vrai ou s’il s’agit juste d’un coup de bluff marketing.

« Ils semblent très confiants quant à leur capacité à rester », a ajouté l’expert.

Un second expert a déclaré que Grayshift a abordé le mode restreint USB dans un webinaire il y a plusieurs semaines. Néanmoins, la nouvelle fonctionnalité d'Apple est toujours alarmante pour les forces de l’ordre.

GrayKey

Le GrayKey lui-même est une petite boîte qui a des câbles pour connecter deux iPhones à la fois. Bien que les détails techniques sur la manière dont GrayKey arrive à contourner les mécanismes de sécurité de l’iPhone ne soient pas disponibles, le GrayKey fait appel à des techniques de forces brutes.


Le boîtier GrayKey qui permet de « casser » les protections de deux appareils iOS à la fois.

Selon les diapositives de l'entreprise, l'appareil dispose de deux stratégies pour accéder aux données sur le téléphone : "Before First Unlock” ou BFU, et "After First Unlock” ou AFU.

BFU est une attaque par « force brute lente », ce qui signifie qu'il faut 10 minutes par essai. Cela donne accès à des « données limitées ». Cela est probablement dû au fait que la stratégie BFU se produit lorsque le téléphone est éteint à la saisi. Si c'est le cas, lorsqu'il est allumé, l'iPhone dispose de la plupart de ses données, y compris les contacts, les messages et autres données personnelles encore cryptées.

L'AFU, quant à elle, est un attaque par « force brute rapide », qui intervient probablement lorsque le téléphone est verrouillé mais qu'il a été allumé puis déverrouillé au moins une fois par le propriétaire. Dans ce cas, il permet 300 000 essais et permet « l'extraction parallèle des données de pré-déblocage ». Si l'AFU fonctionne, GrayKey permet de mettre la main sur « 95% des données de l'utilisateur » qui sont alors « disponibles instantanément ».

Mais le nouveau mode restreint USB d'Apple peut sévèrement limiter ce type d'attaque, car le port Lightning utilisé pour attaquer le téléphone deviendra largement inutile une fois qu’une heure sera passée sans qu’il n’y ait eu un déverrouillage du téléphone.

L'option, qui est apparue dans la première bêta d'iOS 11.4.1 et elle est aussi présente dans la préversion d'iOS 12, se trouve dans les réglages Face ID et code, en bas du panneau.

Source : MB

Et vous ?

Qu'en pensez-vous ? Coup de bluff ou réalité ?

Voir aussi :

Un mauvais usage de l'API de vérification du code signé avec l'outil d'Apple pourrait rendre du code malicieux indétectable sur macOS, selon Pitts
WWDC 2018 : Apple lance WatchOS 5, le nouvel OS de sa smartwatch qui intègre le mode Walkie Talkie, les podcasts, la détection de work-out
Apple tacle Facebook en présentant de nouvelles mesures anti-traçage dans Safari, bientôt la fin du pistage des internautes ?
Fonctionnalités clés liées aux développeurs introduites dans macOS 10.14 : Apple note la dépréciation d'OpenGL et OpenCL
WWDC 2018 : Apple dévoile Mojave, le nouveau macOS 10.14 qui succèdera à High Sierra et introduit le support des applications iOS sur Mac
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 24/06/2018 à 16:38
Un hacker montre qu'il est possible de contourner le mécanisme de sécurité d'iOS,
pour lancer une attaque par force brute et déverrouiller un iPhone

Matthew Hickey, chercheur en sécurité et co-fondateur du cabinet de cybersécurité Hacker House, a tweeté vendredi sur un moyen potentiel de contourner les mesures de sécurité, lui permettant d'entrer autant de mots de passe qu'il le souhaite, même sur la dernière version d'iOS 11.3.

Pour rappel, au-delà de dix mauvais mots de passe, l'appareil peut être configuré pour effacer son contenu. Cependant, Hickey a expliqué qu'il a trouvé un moyen de contourner cela.

Fondamentalement, sa méthode consiste à tromper le système de protection iOS et obtenir les droits d'essayer autant de codes qu'il veut dans une tentative de déverrouiller l'iPhone. Cela signifie que tout le monde serait en mesure de forcer les codes d'accès de l'iPhone sans avoir à attendre plus longtemps entre les tentatives et sans atteindre la limite de 10 qui conduirait à l'effacement de l'appareil.

Hickey explique que sa méthode ne nécessite aucune technique avancée, mais seulement un iPhone déjà allumé et un câble Lightning.


Au lieu d'entrer les codes d'accès iPhone un par un, ce qui augmenterait progressivement le temps d'attente entre les tentatives et supprimerait finalement les données, le chercheur dit que les attaquants peuvent simplement envoyer une chaîne contenant toutes les combinaisons de codes sans espaces. Cela signifie qu'au lieu de gérer les entrées de code d'accès une par une et d'augmenter le temps d'attente, l'iPhone lit chaque combinaison sans interruption, donc aucun temps d'attente n'est ajouté.

Une preuve de concept montre à quel point la méthode peut être utilisée par presque tout le monde, bien que le chercheur explique que le processus peut durer de quelques secondes à plusieurs semaines avant que le bon mot de passe ne soit découvert.

Dans sa démo, il a utilisé une combinaison de tous les nombres compris entre 0000 et 9999, puis il a mis le résultat dans une seule chaîne de caractère sans espace. Il a expliqué que, parce que cela ne donne aucune pause au logiciel, la routine d'entrée au clavier a la priorité sur la fonction d'effacement des données du périphérique.

La méthode fonctionne avec des codes d'accès à 4 chiffres et à 6 chiffres, mais il va sans dire que plus le code est complexe, plus le temps nécessaire à l'attaque par force brute est long.

https://vimeo.com/276506763

Hickey a fait un tweet plus tard, dans lequel il explique que tous les codes d'accès testés ne sont pas envoyés à l'enclave sécurisée du périphérique, dont la fonction est de protéger l'appareil des attaques par force brute.

« Les [codes d'accès] ne vont pas toujours dans [le processeur d'enclave sécurisé] dans certains cas - en raison de la numérotation par paquet [ou] des entrées trop rapides - donc bien qu'il semble que les pins sont testés, ils ne sont pas toujours envoyés et donc ils ne comptent pas, les appareils peuvent alors enregistrer moins d’essais qu’il n’y paraît ».

Hickey a crédité Stefan Esser pour son aide.

« Je suis retourné vérifier tout le code et les tests », a déclaré Hickey dans un message samedi. « Quand j'ai envoyé des codes au téléphone, il me semblait que 20 ou plus étaient entrés mais en réalité, seuls quatre ou cinq PIN avaient été vérifiés ».

Apple a déjà été informé du bogue. iOS 12 pourrait le bloquer lors de son lancement en septembre, et à ce stade, il n'est pas encore clair si la nouvelle fonctionnalité de sécurité empêchant les connexions USB après 1 heure sans déverrouiller le périphérique rend le hack obsolète.

Source : Twitter (1, 2)

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Un mauvais usage de l'API de vérification du code signé avec l'outil d'Apple pourrait rendre du code malicieux indétectable sur macOS, selon Pitts
WWDC 2018 : Apple lance WatchOS 5, le nouvel OS de sa smartwatch qui intègre le mode Walkie Talkie, les podcasts, la détection de work-out
Apple tacle Facebook en présentant de nouvelles mesures anti-traçage dans Safari, bientôt la fin du pistage des internautes ?
Fonctionnalités clés liées aux développeurs introduites dans macOS 10.14 : Apple note la dépréciation d'OpenGL et OpenCL
WWDC 2018 : Apple dévoile Mojave, le nouveau macOS 10.14 qui succèdera à High Sierra et introduit le support des applications iOS sur Mac
Avatar de Aiekick Aiekick - Membre chevronné https://www.developpez.com
le 25/06/2018 à 1:52
c'est drôle, ne pouvoir rien faire d'autre que lancer une attaque par force brute est synonyme de déblocage de l'iphone ?
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 25/06/2018 à 9:06
Apple assure que le mécanisme de sécurité d'iOS n'a pas été contourné par Matthew Hickey,
le chercheur en sécurité revient sur ses déclarations

Matthew Hickey, chercheur en sécurité et co-fondateur du cabinet de cybersécurité Hacker House, a tweeté vendredi sur un moyen potentiel de contourner les mesures de sécurité, lui permettant d'entrer autant de mots de passe qu'il le souhaite, même sur la dernière version d'iOS 11.3.

Pour rappel, au-delà de dix mauvais mots de passe, l'appareil peut être configuré pour effacer son contenu. Cependant, Hickey a expliqué qu'il a trouvé un moyen de contourner cela.

Fondamentalement, sa méthode consiste à tromper le système de protection iOS et obtenir les droits d'essayer autant de codes qu'il veut dans une tentative de déverrouiller l'iPhone. Cela signifie que tout le monde serait en mesure de forcer les codes d'accès de l'iPhone sans avoir à attendre plus longtemps entre les tentatives et sans atteindre la limite de 10 qui conduirait à l'effacement de l'appareil.

Au lieu d'entrer les codes d'accès iPhone un par un, ce qui augmenterait progressivement le temps d'attente entre les tentatives et supprimerait finalement les données, le chercheur dit que les attaquants peuvent simplement envoyer une chaîne contenant toutes les combinaisons de codes sans espaces. Cela signifie qu'au lieu de gérer les entrées de code d'accès une par une et d'augmenter le temps d'attente, l'iPhone lit chaque combinaison sans interruption, donc aucun temps d'attente n'est ajouté.

Le PDG de la société de sécurité Antidote UG, Stefan Esser, a contesté les premiers résultats, déclarant sur Twitter :

« Y a-t-il une vidéo où cela fonctionne réellement ? Je veux dire : vous insérez le vrai mot de passe et il finit par débloquer. Je crois que j'ai essayé quelque chose comme ceci et il s'est avéré que toutes les séquences ont été des échecs parce que l'appareil n'essaye pas réellement ces mots de passe jusqu'à ce que vous mettiez en pause »


Plus tard, il a tweeté : « Je me demande si Apple va commenter publiquement ceci et dire que ce n'est pas vrai et que c'est juste le résultat d'un mauvais test » en réponse à un tweet qui disait « Le hack contourne la limite d’essais de mots de passe de l'iPhone (la fonction de sécurité qui a empêché au FBI d'entrer dans l'iPhone de San Bernardino) en envoyant tous les essais de code en une fois - en énumérant chaque code de 0000 à 9999 dans une chaîne sans espaces »

Apple a fait une déclaration à ce sujet, par le biais de son porte-parole Michele Wyman : « Le rapport récent sur un contournement de code d'accès sur iPhone était erroné et le résultat de tests incorrects »

Une déclaration qui a conduit Hickey a refaire des tests puis à modifier la description de sa vidéo en conséquence pour faire comprendre que le contournement n’en était pas un en réalité :

« iOS a un problème dans l'interface utilisateur lorsque le code PIN est envoyé en double ou trop rapidement, pour éviter l'entrée accidentelle des PIN, ces PIN ne sont jamais testés par l'appareil. Cette vidéo montre ce que l'on croyait être un exploit de contournement pour la fonction d'effacement de données, mais le SEP ne traite pas la majorité des PIN d'entrée en raison de la fonctionnalité susmentionnée dans iOS. Ainsi, bien que l'appareil semble traiter plusieurs PIN en même temps, il ne traite en réalité qu'un plus petit nombre d'entrées. Cela signifie que l'attaque par contournement n'est pas valide »

Source : Twitter Stefan Esser, https://vimeo.com/276506763

Voir aussi :

Un mauvais usage de l'API de vérification du code signé avec l'outil d'Apple pourrait rendre du code malicieux indétectable sur macOS, selon Pitts
WWDC 2018 : Apple lance WatchOS 5, le nouvel OS de sa smartwatch qui intègre le mode Walkie Talkie, les podcasts, la détection de work-out
Apple tacle Facebook en présentant de nouvelles mesures anti-traçage dans Safari, bientôt la fin du pistage des internautes ?
Fonctionnalités clés liées aux développeurs introduites dans macOS 10.14 : Apple note la dépréciation d'OpenGL et OpenCL
WWDC 2018 : Apple dévoile Mojave, le nouveau macOS 10.14 qui succèdera à High Sierra et introduit le support des applications iOS sur Mac
Avatar de spyserver spyserver - Membre averti https://www.developpez.com
le 25/06/2018 à 11:31
La grande surprise c'est surtout de comprendre pourquoi la méthode est capable de prendre en entrée plus de 6 digits ?
Sans être expert en sécurité, un simple contrôle de surface inhibe ce test et je trouve que le communiqué d'Apple n'est pas forcément des plus rassurant puisque qu'ils expliquent juste qu'un nombre moindre d'entrées est testé, mais ça reste quand même plusieurs pin au lieu d'un seul normalement attendu par chaine envoyé ...
Avatar de AoCannaille AoCannaille - Membre émérite https://www.developpez.com
le 26/06/2018 à 10:18
Citation Envoyé par Aiekick Voir le message
c'est drôle, ne pouvoir rien faire d'autre que lancer une attaque par force brute est synonyme de déblocage de l'iphone ?
ça reste une faille de sécurité si cela prend un temps raisonnable genre une semaine. ça devrait prendre 2 ans pour ne pas être un problème.
Il devrait y avoir des délais entre les essais qui augmentent exponentiellement, c'est ça qui est contourné avec succès.
Avatar de Coriolan Coriolan - Chroniqueur Actualités https://www.developpez.com
le 10/07/2018 à 19:26
Apple publie iOS 11.4.1
Un mode USB restreint bloque désormais un outil utilisé par la police pour débloquer l'iPhone

Apple est monté au créneau en 2016 après avoir refusé de céder aux appels du FBI pour déverrouiller un iPhone lié à l’attentat de San Bernardino. La firme a refusé d’implanter une porte dérobée dans son logiciel pour permettre à l’agence fédérale d’outrepasser les mesures de sécurité conçues pour protéger les données chiffrées sur iOS. La pomme a justifié cette décision par le risque de voir des acteurs malicieux exploiter un tel “backdoor” ce qui rend vulnérables les appareils de millions d'utilisateurs.

En avril, des rapports ont informé qu’une entreprise au nom de Grayshift a réussi à développer un outil peu coûteux qui permet de débloquer n'importe quel iPhone. Une technologie aussitôt achetée par les services de police locaux et régionaux américains ainsi que le gouvernement fédéral.

Le dispositif de déchiffrement GrayKey de Grayshift est une petite boîte de 4x4 pouces avec deux câbles de connexion compatibles avec l’iPhone. La boîte GrayKey peut apparemment déverrouiller un iPhone dans environ deux heures si le propriétaire a utilisé un code d'accès à quatre chiffres et trois jours ou plus si un code d'accès à six chiffres a été utilisé.


C’est ce dispositif qu’Apple a taclé dans une nouvelle mise à jour iOS 11.4.1 que la firme a publiée. Alors que les utilisateurs attendent avec impatience iOS 12, cette mise à jour apporte une fonctionnalité de sécurité importante : un mode USB restreint.

En gros, pour empêcher l’exploitation de brèches non répertoriées dans iOS, Apple a décidé d’implanter des protections qui rendent difficile, même pour les autorités, de s’introduire dans un iPhone via le port Lightning pour cracker le mot de passe.

Apple a eu l’ingénieuse idée d’empêcher tout simplement toute connexion USB une fois l’iPhone ou l’iPad ont été verrouillés pendant plus d’une heure. Une fois ce délai passé, iOS va ne va plus permettre à des accessoires USB de se connecter à l’appareil, ce qui rend inutilisables les outils comme GrayKey. Cette option est activée par défaut par la nouvelle mise à jour, mais l’utilisateur peut toujours la désactiver dans les réglages s’il souhaite outrepasser cette limite.

Apple, défenseur des criminels ?

La décision d’Apple de limiter le mode USB pourrait encore une fois mettre en confrontation la firme avec les autorités. En effet, ces derniers ont auparavant accusé la pomme de protéger de manière flagrante les activités criminelles. Une chose qu’Apple nie catégoriquement et assure agir pour protéger ses clients contre les hackers, les voleurs d’identité et les intrusions à la vie personnelle. Apple a informé qu’elle craint que des criminels puissent exploiter les mêmes failles utilisées par les forces de l’ordre. La firme a ajouté que ses protections n’ont pas pour objectif de frustrer les autorités et rendre leur travail plus difficile.

Apple a également publié des mises à jour pour l’Apple Watch, Apple TV, HomePod, et incluent pour la plupart des améliorations et des correctifs. La firme devrait désormais concentrer ses efforts sur l’arrivée de la prochaine mise à jour majeure d’iOS (iOS 12) qui sera disponible probablement en automne.

Source : Apple - The New York Times

Et vous ?

Que pensez-vous que cette mesure de sécurité ?
Pensez-vous qu'elle sera suffisante pour protéger la confidentialité des utilisateurs ?

Voir aussi :

Étude : nos téléphones ne nous enregistrent pas secrètement, mais certaines apps font des captures d'écran et les envoient à des parties tierces
Aux États-Unis, posséder un iPhone ou un iPad d'Apple serait un signe extérieur de richesse, selon une étude
La bêta publique d'iOS 12 est disponible en téléchargement et s'accompagne de nombreuses fonctionnalités, parmi lesquelles certaines sont orientées AR
Apple assure que le mécanisme de sécurité d'iOS n'a pas été contourné par Matthew Hickey, le chercheur en sécurité revient sur ses déclarations
Forum Développement iOS, Rubrique iOS
Contacter le responsable de la rubrique Accueil