La société NQ Mobile aurait surestimé les capacités de son application de sécurité NQ Vault, pour Android et iOS. Selon la description du produit, l’application de sécurité populaire est conçue comme une solution pour chiffrer les données privées sur les téléphones, comme des images, des vidéos et des messages. Ce qui est vérifiable, mais la méthode de chiffrement utilisée laisse beaucoup à désirer.
Un développeur connu sous le pseudo de NinjaDoge24 a décidé de tester les prétentions de sécurité de NQ mobile Vault, et a constaté que la méthode de chiffrement utilisée pouvait être facilement brisée. L’application de chiffrement utilise en fait le chiffre XOR.
Pour rappel, en cryptologie, un chiffre est une manière secrète d'écrire un message à transmettre, au moyen de caractères et de signes disposés selon une convention convenue au préalable. Plus précisément, il s’agit d’un ensemble de conventions et de symboles employés pour remplacer chaque lettre du message à rendre secret.
Il existe deux grandes familles de chiffres à savoir les chiffres par transposition et les chiffres par substitution. Dans le premier cas, les lettres du message sont mélangées selon une convention secrète. Et dans le second cas, les lettres du message sont remplacées par des symboles déterminés.
XOR fait partie des chiffres par substitution. Il permet de faire un chiffrement bit à bit qui utilise les propriétés mathématiques de la fonction OU exclusif. Concrètement, le message à chiffrer et la clé de chiffrement sont traduits en binaire et à partir des deux ensembles de valeurs générés, on applique l’opérateur XOR selon sa table de vérité pour générer le message chiffré en binaire. La table de vérité de l’opérateur XOR est donnée ci-après.
L'inconvénient du chiffre XOR est qu'il est relativement facile à briser. Mais, même dans ce cas, il est utilisé dans des algorithmes de chiffrement complexes, en tant que chiffrement supplémentaire. Le problème avec la méthode de chiffrement de NQ Vault ne vient donc pas de l’utilisation de XOR, mais plutôt du fait que la méthode s’appuie seulement sur ce chiffre par substitution, qui tout seul est insuffisant pour créer un chiffrement sécurisé.
La méthode de chiffrement de NQ Vault devient encore moins sûre dans la mesure où elle ne chiffre pas de surcroît l’intégralité du fichier. Le développeur a chiffré une image PNG en utilisant la version Android de l’application. En analysant le fichier résultant, il a remarqué que l'image n'a pas été chiffrée dans son intégralité, et il pouvait voir son nom. En effet, seuls les 128 premiers octets sont chiffrés.
Le chiffrement des 128 premiers octets pourrait s’avérer plus fiable, mais il semble plus facile à briser dans le cas de fichiers de médias. Le développeur a également découvert que la clé associée à un mot de passe suivait un modèle facilement identifiable qui consiste en partie en une incrémentation simple. Autrement dit, pour deux mots de passe (des nombres entiers) consécutifs, les clés générées sont également des nombres consécutifs du même ordre de grandeur. Ce qui rend encore plus facile de déchiffrer les fichiers des utilisateurs.
Source : NinjaDoge24
Et vous ?
Utilisez-vous NQ Vault ?
Qu’en pensez-vous ?
L'application de sécurité NQ Vault pour iOS et Android serait compromise
Un développeur a pu facilement briser la méthode de chiffrement
L'application de sécurité NQ Vault pour iOS et Android serait compromise
Un développeur a pu facilement briser la méthode de chiffrement
Le , par Michael Guilloux
Une erreur dans cette actualité ? Signalez-nous-la !