Apple va améliorer le chiffrement des données sur iPhone
Une mesure qui ne plait pas aux forces de l'ordre qui le traitent de complice des criminels

Le , par Stéphane le calme, Chroniqueur Actualités
Apple a longtemps vanté son iPhone comme étant un dispositif suffisamment sécurisé pour que seul son propriétaire soit à mesure de le déverrouiller. Une vision un peu édulcorée de la réalité qui a quand même tenu l’éditeur d’iOS loin de toutes formes de bug bounty avant son bras de fer avec les forces de l’ordre.

Pour rappel, ces dernières souhaitaient qu’Apple installe un mécanisme qui permette de contourner sa propre sécurité. Apple ayant refusé de le faire, mettant en avant le fait que cela pourrait nuire à la sécurité de ses dispositifs de par le monde, le FBI a fait appel à une entité tierce qui a profité d’une vulnérabilité pour parvenir à son but. Depuis, Apple a décidé de lancer à son tour un Bug Bounty, au même titre que les autres enseignes technologiques.

Pour se positionner à nouveau comme le champion de la sécurité, Apple a annoncé mercredi qu'il allait améliorer le chiffrement des données sur ses iPhone afin de mieux contrer des pirates informatiques ou des policiers trop zélés. Ces nouvelles mesures arrivent à un moment où un nouvel outil appelé GrayKey, que l'on dit capable de déverrouiller les iPhone, commence à se faire une réputation dans les milieux technologiques.

« Nous mettons le client au centre de tout », a expliqué Apple dans un communiqué mercredi. « Nous renforçons sans relâche nos protections de sécurité dans chaque produit Apple pour aider nos clients à se défendre contre les hackeurs »

Le constructeur a confirmé à Reuters la présence d'une fonction qui interdit à un appareil branché sur le port Lightning de l'iPhone ou de l'iPad d'accéder à son contenu si l'utilisateur ne s'est pas identifié dans la dernière heure.

L'option, qui est apparue dans la première bêta d'iOS 11.4.1 et elle est aussi présente dans la préversion d'iOS 12, se trouve dans les réglages Face ID et code, en bas du panneau. En la désactivant, on empêche effectivement la connexion d'accessoires USB si l'iPhone est verrouillé depuis plus d'une heure. Pour Apple, cette fonction permet de couper l'herbe sous le pied aux forces de police et aux agences à acronymes de fouiller dans les données d'un terminal avec l'aide d'un boîtier GrayKey par exemple.


Le boîtier GrayKey qui permet de « casser » les protections de deux appareils iOS à la fois.

Vous voulez déverrouiller un iPhone ? Par là cela ne sera plus possible

Une décision qui semble mettre les forces de l’ordre en colère et qui pourrait bien relancer la question sur le fait de savoir si le gouvernement a le droit d’entrer dans les dispositifs personnels de la vie moderne est désormais relancée.

Avec cette fonction, pour transférer des données depuis ou vers l'iPhone via le port, une personne devra alors entrer le mot de passe du téléphone si celui-ci a été verrouillé depuis plus d’une heure. Un tel changement va gêner les forces de l’ordre, qui ont généralement déverrouillé des iPhones en connectant un autre appareil exécutant un logiciel spécial sur le port, souvent des jours ou même des mois après le dernier déverrouillage du smartphone. Les nouvelles de la mise à jour programmée d'Apple ont commencé à se propager à travers les blogs de sécurité, ce qui a eu pour résultat de mettre en colère de nombreuses agences d'investigation.

« Si nous revenons à la situation où nous n'avons plus d’accès, alors nous aurons perdu tellement de preuves et il y aura tellement d’enfants que nous ne pourrons plus mettre dans une position de sécurité », a déclaré Chuck Cohen, qui dirige un groupe de travail de la police de l'État de l'Indiana sur les crimes sur Internet contre les enfants. La police de l'État de l'Indiana a déclaré avoir débloqué 96 iPhones pour divers cas cette année, chaque fois avec un mandat, en utilisant un appareil de 15 000 $ qu'elle a acheté en mars auprès d'une compagnie appelée Grayshift.

Une décision qui ne fait pas l’unanimité

Cependant, pour les défenseurs de la vie privée, Apple a raison de corriger cette faille de sécurité qui est devenue plus facile et moins coûteuse à exploiter : « C'est une très grande vulnérabilité dans les téléphones d'Apple », a déclaré Matthew D. Green, professeur de cryptographie à l'Université Johns Hopkins. Selon lui, un dispositif de Grayshift sur un bureau dans un poste de police pourrait très facilement se retrouver dans d’autres mains.

Dans un courriel adressé au New York Times, un porte-parole d'Apple, Fred Sainz, a déclaré que l'entreprise renforçait constamment les protections de sécurité et corrigeait toute vulnérabilité détectée dans ses téléphones, en partie parce que les criminels pouvaient également exploiter les mêmes failles. « Nous avons le plus grand respect pour les forces de l’ordre, et nous ne concevons pas nos améliorations de la sécurité pour réduire à néant leurs efforts dans l’amélioration de leur travail ».

Apple et Google, qui développent les logiciels utilisés dans presque tous les smartphones du monde, ont commencé à chiffrer leurs systèmes d’exploitation mobile en 2014. L’objectif est de brouiller les données pour les rendre illisibles, à moins de disposer d’une clé spéciale (qui peut être un mot de passe). Une stratégie qui n’a pas enchanté les forces de l’ordre.


Rappelons d’ailleurs que plusieurs élus de par le monde veulent se battre contre le chiffrement, mettant en avant la dimension sécurité nationale. L’argument est souvent le même : « puisque les terroristes utilisent WhatsApp pour communiquer, alors WhatsApp doit nous permettre de lire les conversations ». Les demandes quant à elles peuvent varier. Certains veulent des portes dérobées, d’autres une utilisation de mécanisme de chiffrement moins efficace.

Une stratégie qui n’est pas nouvelle chez Apple

Il faut préciser que ce n’est pas la première fois qu’Apple ferme des failles dans la sécurité de ses dispositifs. Pendant des années, la police pouvait utiliser la force brute en se servant d’un logiciel qui allait tester toutes les combinaisons possibles de mots de passe jusqu’à ce que le téléphone soit déverrouillé. Apple a décidé alors d’y mettre fin en désactivant les iPhones après un nombre limité de saisis de mauvais mots de passe. Cependant, selon Green, les logiciels Grayshift et Cellebrite semblent pouvoir désactiver cette technologie Apple, permettant à leurs appareils de tester des milliers de codes d'accès.

Les organismes d'application de la loi qui ont acheté un dispositif GrayKey comprennent la Drug Enforcement Administration, qui a acheté un modèle avancé cette année pour 30 000 $, selon les dossiers publics. La police d'État du Maryland en a un, tout comme les services de police de Portland, en Oregon, et de Rochester, au Minnesota, selon les registres.


Apple, défenseur des criminels ? Oui, pour un procureur

Hillar Moore, procureur de Baton Rouge (capitale de la Louisiane), a déclaré que son bureau avait versé à Cellebrite des milliers de dollars pour débloquer des iPhones dans cinq affaires depuis 2017, notamment une enquête sur la mort d'un engagement de fraternité à la Louisiana State University. Il a dit que les téléphones avaient fourni des informations cruciales, et il était contrarié qu'Apple ait prévu de fermer une telle avenue d'investigation utile.

« Ils protègent de manière flagrante les activités criminelles, et seulement sous le couvert de la vie privée pour leurs clients », a-t-il estimé.

Michael Sachs, un procureur de district adjoint à Manhattan, a déclaré que son bureau utilise des solutions de contournement (il a refusé de préciser lequel) pour accéder à des iPhones verrouillés plusieurs fois par semaine. Cela a permis de résoudre une série de cas ces derniers mois, notamment en se connectant à un iPhone pour trouver des vidéos d'un suspect qui agressait sexuellement un enfant. L'homme en question a été condamné cette année.


Le jeu du chat et de la souris

Au cours des dix premiers mois de 2017, le bureau du procureur de Manhattan a déclaré avoir récupéré et obtenu des mandats ou avoir consenti à fouiller 702 smartphones verrouillés, dont les deux tiers étaient des iPhones. Les smartphones exécutant le logiciel Android de Google sont généralement plus faciles d'accès, en partie parce que de nombreux appareils plus anciens ne sont pas chiffrés.

Le chiffrement sur les smartphones s'applique uniquement aux données stockées uniquement sur le téléphone. Des entreprises comme Apple et Google donnent régulièrement aux responsables de l'application de la loi l'accès aux données que les consommateurs sauvegardent sur leurs serveurs, par exemple via le service iCloud d'Apple. Apple a déclaré que depuis 2013, il a répondu à plus de 55 000 demandes du gouvernement des États-Unis à la recherche d'informations sur plus de 208 000 appareils, comptes ou identifiants financiers.

Selon Michelle Richardson, analyste au Centre pour la démocratie et la technologie, qui soutient les protections de la vie privée en ligne, la dernière initiative d'Apple fait partie d'un jeu de chat et de souris entre les entreprises technologiques et les forces de l'ordre.

« Les gens s'attendaient toujours à ce qu'il y ait un va-et-vient. Notamment que le gouvernement puisse hacker ces appareils, puis qu'Apple décide de boucher la faille et que les hackers trouvent une autre solution », a-t-elle déclaré.

Sources : Reuters, New York Times

Et vous ?

Que pensez-vous de cette décision d'Apple ?

Voir aussi :

Un mauvais usage de l'API de vérification du code signé avec l'outil d'Apple pourrait rendre du code malicieux indétectable sur macOS, selon Pitts
WWDC 2018 : Apple lance WatchOS 5, le nouvel OS de sa smartwatch qui intègre le mode Walkie Talkie, les podcasts, la détection de work-out
Apple tacle Facebook en présentant de nouvelles mesures anti-traçage dans Safari, bientôt la fin du pistage des internautes ?
Fonctionnalités clés liées aux développeurs introduites dans macOS 10.14 : Apple note la dépréciation d'OpenGL et OpenCL
WWDC 2018 : Apple dévoile Mojave, le nouveau macOS 10.14 qui succèdera à High Sierra et introduit le support des applications iOS sur Mac


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 15/06/2018 à 10:36
Des experts suggèrent que Grayshift aurait trouvé un moyen de contourner la nouvelle fonctionnalité de sécurité sur iPhone
coup de bluff ou réalité ?

Pour se positionner à nouveau comme le champion de la sécurité, Apple a annoncé mercredi qu'il allait améliorer le chiffrement des données sur ses iPhone afin de mieux contrer des pirates informatiques ou des policiers trop zélés. Ces nouvelles mesures arrivent à un moment où un nouvel outil appelé GrayKey, que l'on dit capable de déverrouiller les iPhone, commence à se faire une réputation dans les milieux technologiques.

« Nous mettons le client au centre de tout », a expliqué Apple dans un communiqué mercredi. « Nous renforçons sans relâche nos protections de sécurité dans chaque produit Apple pour aider nos clients à se défendre contre les hackeurs »

Le constructeur a confirmé à Reuters la présence d'une fonction qui interdit à un appareil branché sur le port Lightning de l'iPhone ou de l'iPad d'accéder à son contenu si l'utilisateur ne s'est pas identifié dans la dernière heure.

Bien entendu, la fonctionnalité n’a pas été applaudie par les forces de l’ordre, car l’accès aux téléphones mobiles allait devenir plus difficile. « Si nous revenons à la situation où nous n'avons plus d’accès, alors nous aurons perdu l’accès à tellement de preuves et il y aura tellement d’enfants que nous ne pourrons plus mettre dans une position de sécurité », a déclaré Chuck Cohen, qui dirige un groupe de travail de la police de l'État de l'Indiana sur les crimes sur Internet contre les enfants. La police de l'État de l'Indiana a déclaré avoir débloqué 96 iPhones pour divers cas cette année, chaque fois avec un mandat, en utilisant un appareil de 15 000 $ qu'elle a acheté en mars auprès d'une compagnie appelée Grayshift.

Hillar Moore, procureur de Baton Rouge (capitale de la Louisiane), a déclaré que son bureau avait versé à Cellebrite des milliers de dollars pour débloquer des iPhones dans cinq affaires depuis 2017, notamment une enquête sur la mort d'un engagement de fraternité à la Louisiana State University. Il a dit que les téléphones avaient fourni des informations cruciales, et il était contrarié qu'Apple ait prévu de fermer une telle avenue d'investigation utile.

« Ils protègent de manière flagrante les activités criminelles, et seulement sous le couvert de la vie privée pour leurs clients », a-t-il estimé.


Le jeu est loin d’être terminé.

Des experts en cybersécurité ont suggéré que Grayshift, la société derrière la technologie utilisée par les forces de l’ordre, n'a pas dit son dernier mot.

« Grayshift s'est donné beaucoup de mal pour tester sa technologie à venir et a déclaré être déjà venu à bout de cette fonctionnalité de sécurité dans la version bêta. En outre, GrayKey a d’autres capacités qui seront exploitées au fil du temps », a déclaré un expert en sécurité même si MB, qui a transmis le message, ne sait pas si cela est vrai ou s’il s’agit juste d’un coup de bluff marketing.

« Ils semblent très confiants quant à leur capacité à rester », a ajouté l’expert.

Un second expert a déclaré que Grayshift a abordé le mode restreint USB dans un webinaire il y a plusieurs semaines. Néanmoins, la nouvelle fonctionnalité d'Apple est toujours alarmante pour les forces de l’ordre.

GrayKey

Le GrayKey lui-même est une petite boîte qui a des câbles pour connecter deux iPhones à la fois. Bien que les détails techniques sur la manière dont GrayKey arrive à contourner les mécanismes de sécurité de l’iPhone ne soient pas disponibles, le GrayKey fait appel à des techniques de forces brutes.


Le boîtier GrayKey qui permet de « casser » les protections de deux appareils iOS à la fois.

Selon les diapositives de l'entreprise, l'appareil dispose de deux stratégies pour accéder aux données sur le téléphone : "Before First Unlock” ou BFU, et "After First Unlock” ou AFU.

BFU est une attaque par « force brute lente », ce qui signifie qu'il faut 10 minutes par essai. Cela donne accès à des « données limitées ». Cela est probablement dû au fait que la stratégie BFU se produit lorsque le téléphone est éteint à la saisi. Si c'est le cas, lorsqu'il est allumé, l'iPhone dispose de la plupart de ses données, y compris les contacts, les messages et autres données personnelles encore cryptées.

L'AFU, quant à elle, est un attaque par « force brute rapide », qui intervient probablement lorsque le téléphone est verrouillé mais qu'il a été allumé puis déverrouillé au moins une fois par le propriétaire. Dans ce cas, il permet 300 000 essais et permet « l'extraction parallèle des données de pré-déblocage ». Si l'AFU fonctionne, GrayKey permet de mettre la main sur « 95% des données de l'utilisateur » qui sont alors « disponibles instantanément ».

Mais le nouveau mode restreint USB d'Apple peut sévèrement limiter ce type d'attaque, car le port Lightning utilisé pour attaquer le téléphone deviendra largement inutile une fois qu’une heure sera passée sans qu’il n’y ait eu un déverrouillage du téléphone.

L'option, qui est apparue dans la première bêta d'iOS 11.4.1 et elle est aussi présente dans la préversion d'iOS 12, se trouve dans les réglages Face ID et code, en bas du panneau.

Source : MB

Et vous ?

Qu'en pensez-vous ? Coup de bluff ou réalité ?

Voir aussi :

Un mauvais usage de l'API de vérification du code signé avec l'outil d'Apple pourrait rendre du code malicieux indétectable sur macOS, selon Pitts
WWDC 2018 : Apple lance WatchOS 5, le nouvel OS de sa smartwatch qui intègre le mode Walkie Talkie, les podcasts, la détection de work-out
Apple tacle Facebook en présentant de nouvelles mesures anti-traçage dans Safari, bientôt la fin du pistage des internautes ?
Fonctionnalités clés liées aux développeurs introduites dans macOS 10.14 : Apple note la dépréciation d'OpenGL et OpenCL
WWDC 2018 : Apple dévoile Mojave, le nouveau macOS 10.14 qui succèdera à High Sierra et introduit le support des applications iOS sur Mac
Contacter le responsable de la rubrique Accueil