L'application de sécurité NQ Vault pour iOS et Android serait compromise
Un développeur a pu facilement briser la méthode de chiffrement
Le 2015-04-08 10:44:43, par Michael Guilloux, Chroniqueur Actualités
La société NQ Mobile aurait surestimé les capacités de son application de sécurité NQ Vault, pour Android et iOS. Selon la description du produit, l’application de sécurité populaire est conçue comme une solution pour chiffrer les données privées sur les téléphones, comme des images, des vidéos et des messages. Ce qui est vérifiable, mais la méthode de chiffrement utilisée laisse beaucoup à désirer.
Un développeur connu sous le pseudo de NinjaDoge24 a décidé de tester les prétentions de sécurité de NQ mobile Vault, et a constaté que la méthode de chiffrement utilisée pouvait être facilement brisée. L’application de chiffrement utilise en fait le chiffre XOR.
Pour rappel, en cryptologie, un chiffre est une manière secrète d'écrire un message à transmettre, au moyen de caractères et de signes disposés selon une convention convenue au préalable. Plus précisément, il s’agit d’un ensemble de conventions et de symboles employés pour remplacer chaque lettre du message à rendre secret.
Il existe deux grandes familles de chiffres à savoir les chiffres par transposition et les chiffres par substitution. Dans le premier cas, les lettres du message sont mélangées selon une convention secrète. Et dans le second cas, les lettres du message sont remplacées par des symboles déterminés.
XOR fait partie des chiffres par substitution. Il permet de faire un chiffrement bit à bit qui utilise les propriétés mathématiques de la fonction OU exclusif. Concrètement, le message à chiffrer et la clé de chiffrement sont traduits en binaire et à partir des deux ensembles de valeurs générés, on applique l’opérateur XOR selon sa table de vérité pour générer le message chiffré en binaire. La table de vérité de l’opérateur XOR est donnée ci-après.
L'inconvénient du chiffre XOR est qu'il est relativement facile à briser. Mais, même dans ce cas, il est utilisé dans des algorithmes de chiffrement complexes, en tant que chiffrement supplémentaire. Le problème avec la méthode de chiffrement de NQ Vault ne vient donc pas de l’utilisation de XOR, mais plutôt du fait que la méthode s’appuie seulement sur ce chiffre par substitution, qui tout seul est insuffisant pour créer un chiffrement sécurisé.
La méthode de chiffrement de NQ Vault devient encore moins sûre dans la mesure où elle ne chiffre pas de surcroît l’intégralité du fichier. Le développeur a chiffré une image PNG en utilisant la version Android de l’application. En analysant le fichier résultant, il a remarqué que l'image n'a pas été chiffrée dans son intégralité, et il pouvait voir son nom. En effet, seuls les 128 premiers octets sont chiffrés.
Le chiffrement des 128 premiers octets pourrait s’avérer plus fiable, mais il semble plus facile à briser dans le cas de fichiers de médias. Le développeur a également découvert que la clé associée à un mot de passe suivait un modèle facilement identifiable qui consiste en partie en une incrémentation simple. Autrement dit, pour deux mots de passe (des nombres entiers) consécutifs, les clés générées sont également des nombres consécutifs du même ordre de grandeur. Ce qui rend encore plus facile de déchiffrer les fichiers des utilisateurs.
Source : NinjaDoge24
Et vous ?
Un développeur connu sous le pseudo de NinjaDoge24 a décidé de tester les prétentions de sécurité de NQ mobile Vault, et a constaté que la méthode de chiffrement utilisée pouvait être facilement brisée. L’application de chiffrement utilise en fait le chiffre XOR.
Pour rappel, en cryptologie, un chiffre est une manière secrète d'écrire un message à transmettre, au moyen de caractères et de signes disposés selon une convention convenue au préalable. Plus précisément, il s’agit d’un ensemble de conventions et de symboles employés pour remplacer chaque lettre du message à rendre secret.
Il existe deux grandes familles de chiffres à savoir les chiffres par transposition et les chiffres par substitution. Dans le premier cas, les lettres du message sont mélangées selon une convention secrète. Et dans le second cas, les lettres du message sont remplacées par des symboles déterminés.
XOR fait partie des chiffres par substitution. Il permet de faire un chiffrement bit à bit qui utilise les propriétés mathématiques de la fonction OU exclusif. Concrètement, le message à chiffrer et la clé de chiffrement sont traduits en binaire et à partir des deux ensembles de valeurs générés, on applique l’opérateur XOR selon sa table de vérité pour générer le message chiffré en binaire. La table de vérité de l’opérateur XOR est donnée ci-après.
L'inconvénient du chiffre XOR est qu'il est relativement facile à briser. Mais, même dans ce cas, il est utilisé dans des algorithmes de chiffrement complexes, en tant que chiffrement supplémentaire. Le problème avec la méthode de chiffrement de NQ Vault ne vient donc pas de l’utilisation de XOR, mais plutôt du fait que la méthode s’appuie seulement sur ce chiffre par substitution, qui tout seul est insuffisant pour créer un chiffrement sécurisé.
La méthode de chiffrement de NQ Vault devient encore moins sûre dans la mesure où elle ne chiffre pas de surcroît l’intégralité du fichier. Le développeur a chiffré une image PNG en utilisant la version Android de l’application. En analysant le fichier résultant, il a remarqué que l'image n'a pas été chiffrée dans son intégralité, et il pouvait voir son nom. En effet, seuls les 128 premiers octets sont chiffrés.
Le chiffrement des 128 premiers octets pourrait s’avérer plus fiable, mais il semble plus facile à briser dans le cas de fichiers de médias. Le développeur a également découvert que la clé associée à un mot de passe suivait un modèle facilement identifiable qui consiste en partie en une incrémentation simple. Autrement dit, pour deux mots de passe (des nombres entiers) consécutifs, les clés générées sont également des nombres consécutifs du même ordre de grandeur. Ce qui rend encore plus facile de déchiffrer les fichiers des utilisateurs.
Source : NinjaDoge24
Et vous ?
-
DarkHylianMembre habitué
rah lala... comment ça parait trop pas possible.... comment c'est juste l'arnaque du siècle. Je sais pas qui a noté l'appli, mais franchement, j'espère qu'ils ont été bien payé, parce que là, la source de confiance, elle tombe d'un coup sec.
(pour rappel, les notant sont : CTIA, PC Magazine, TRUSTe, Global Mobile Internet Conference App Space, pour ceux qui se fiaient à ceux-là, vous pouvez définitivement les oublier)
et puis sérieux quoi, tant qu'à vouloir faire de la sécurité, on crypte le nom du fichier originale dans la base, et c'est le programme qui s'occupe de le décrypter pour le rechercher dans la base quand l'utilisateur le cherche.
puis un XOR 128bits... sur 128 bits du fichier............... non mais on croit rêver.
Heureusement qu'il y a des ptits curieux !le 08/04/2015 à 17:42 -
nchalMembre expérimentéComplètement incroyable
Les mecs vendent une application pour sécuriser ses données, le bousin fait un XOR sur les 128 premiers bits. Juste hallucinant...
Et aller voir l'article de ninjadodge24, il ne manque pas d'humourle 08/04/2015 à 13:42 -
Matthieu VergneExpert éminentHeureusement que ça n'a pas été fait un 1er avril (l'article original date du 3), sinon on aurait pu passer outre. {'^_^}le 09/04/2015 à 15:31
-
CyrilangeMembre avertiPar substitution !? Je rêve ! Qui utilise encore ça en prétendant que c'est sur ? Je faisais du codage par substitution quand j'avais 12 ans et je savais déjà comment le casser par simple analyse des fréquences. Ce ne serait pas une faiblesse volontaire ? Parce que franchement c'est trop nul pour être vrai !le 16/04/2015 à 17:49
-
Matthieu VergneExpert éminentUne ? Il n'y en a pas qu'une si tu lis bien. Je suis sûr qu'"à 12 ans" tu faisais déjà mieux que ça d'ailleurs. {'^_^}le 16/04/2015 à 19:01