Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

L'application de sécurité NQ Vault pour iOS et Android serait compromise
Un développeur a pu facilement briser la méthode de chiffrement

Le , par Michael Guilloux

254PARTAGES

2  0 
La société NQ Mobile aurait surestimé les capacités de son application de sécurité NQ Vault, pour Android et iOS. Selon la description du produit, l’application de sécurité populaire est conçue comme une solution pour chiffrer les données privées sur les téléphones, comme des images, des vidéos et des messages. Ce qui est vérifiable, mais la méthode de chiffrement utilisée laisse beaucoup à désirer.

Un développeur connu sous le pseudo de NinjaDoge24 a décidé de tester les prétentions de sécurité de NQ mobile Vault, et a constaté que la méthode de chiffrement utilisée pouvait être facilement brisée. L’application de chiffrement utilise en fait le chiffre XOR.

Pour rappel, en cryptologie, un chiffre est une manière secrète d'écrire un message à transmettre, au moyen de caractères et de signes disposés selon une convention convenue au préalable. Plus précisément, il s’agit d’un ensemble de conventions et de symboles employés pour remplacer chaque lettre du message à rendre secret.

Il existe deux grandes familles de chiffres à savoir les chiffres par transposition et les chiffres par substitution. Dans le premier cas, les lettres du message sont mélangées selon une convention secrète. Et dans le second cas, les lettres du message sont remplacées par des symboles déterminés.

XOR fait partie des chiffres par substitution. Il permet de faire un chiffrement bit à bit qui utilise les propriétés mathématiques de la fonction OU exclusif. Concrètement, le message à chiffrer et la clé de chiffrement sont traduits en binaire et à partir des deux ensembles de valeurs générés, on applique l’opérateur XOR selon sa table de vérité pour générer le message chiffré en binaire. La table de vérité de l’opérateur XOR est donnée ci-après.


L'inconvénient du chiffre XOR est qu'il est relativement facile à briser. Mais, même dans ce cas, il est utilisé dans des algorithmes de chiffrement complexes, en tant que chiffrement supplémentaire. Le problème avec la méthode de chiffrement de NQ Vault ne vient donc pas de l’utilisation de XOR, mais plutôt du fait que la méthode s’appuie seulement sur ce chiffre par substitution, qui tout seul est insuffisant pour créer un chiffrement sécurisé.

La méthode de chiffrement de NQ Vault devient encore moins sûre dans la mesure où elle ne chiffre pas de surcroît l’intégralité du fichier. Le développeur a chiffré une image PNG en utilisant la version Android de l’application. En analysant le fichier résultant, il a remarqué que l'image n'a pas été chiffrée dans son intégralité, et il pouvait voir son nom. En effet, seuls les 128 premiers octets sont chiffrés.

Le chiffrement des 128 premiers octets pourrait s’avérer plus fiable, mais il semble plus facile à briser dans le cas de fichiers de médias. Le développeur a également découvert que la clé associée à un mot de passe suivait un modèle facilement identifiable qui consiste en partie en une incrémentation simple. Autrement dit, pour deux mots de passe (des nombres entiers) consécutifs, les clés générées sont également des nombres consécutifs du même ordre de grandeur. Ce qui rend encore plus facile de déchiffrer les fichiers des utilisateurs.


Source : NinjaDoge24

Et vous ?

Utilisez-vous NQ Vault ?

Qu’en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de DarkHylian
Membre habitué https://www.developpez.com
Le 08/04/2015 à 17:42

rah lala... comment ça parait trop pas possible.... comment c'est juste l'arnaque du siècle. Je sais pas qui a noté l'appli, mais franchement, j'espère qu'ils ont été bien payé, parce que là, la source de confiance, elle tombe d'un coup sec.

(pour rappel, les notant sont : CTIA, PC Magazine, TRUSTe, Global Mobile Internet Conference App Space, pour ceux qui se fiaient à ceux-là, vous pouvez définitivement les oublier )

et puis sérieux quoi, tant qu'à vouloir faire de la sécurité, on crypte le nom du fichier originale dans la base, et c'est le programme qui s'occupe de le décrypter pour le rechercher dans la base quand l'utilisateur le cherche.
puis un XOR 128bits... sur 128 bits du fichier............... non mais on croit rêver.

Heureusement qu'il y a des ptits curieux !
3  0 
Avatar de nchal
Membre expérimenté https://www.developpez.com
Le 08/04/2015 à 13:42
Complètement incroyable
Les mecs vendent une application pour sécuriser ses données, le bousin fait un XOR sur les 128 premiers bits. Juste hallucinant...
Et aller voir l'article de ninjadodge24, il ne manque pas d'humour
1  0 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 09/04/2015 à 15:31
Heureusement que ça n'a pas été fait un 1er avril (l'article original date du 3), sinon on aurait pu passer outre. {'^_^}
0  0 
Avatar de Cyrilange
Membre averti https://www.developpez.com
Le 16/04/2015 à 17:49
Par substitution !? Je rêve ! Qui utilise encore ça en prétendant que c'est sur ? Je faisais du codage par substitution quand j'avais 12 ans et je savais déjà comment le casser par simple analyse des fréquences. Ce ne serait pas une faiblesse volontaire ? Parce que franchement c'est trop nul pour être vrai !
0  0 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 16/04/2015 à 19:01
Citation Envoyé par Cyrilange Voir le message
Ce ne serait pas une faiblesse volontaire ? Parce que franchement c'est trop nul pour être vrai !
Une ? Il n'y en a pas qu'une si tu lis bien. Je suis sûr qu'"à 12 ans" tu faisais déjà mieux que ça d'ailleurs. {'^_^}
0  0