Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des chercheurs trouvent un moyen de déchiffrer les médias envoyés sur iMessage
L'outil sécurisé de discussion instantanée sur iOS et OS X

Le , par Stéphane le calme

42PARTAGES

5  0 
Un groupe de chercheurs de l’université Johns Hopkins a trouvé une faille dans son client de messagerie instantanée iMessage. Une fois exploitée, elle permet à un pirate de déchiffrer des photos et vidéos envoyées comme messages instantanés sécurisés.

Pour intercepter les fichiers, les chercheurs ont écrit un logiciel qui a imité un serveur Apple sur une ancienne version d’iOS. La transmission chiffrée qu’ils visaient contenait un lien vers une photo sauvegardée dans un serveur iCloud d’Apple ainsi qu’une clé numérique de 64 bits pour déchiffrer la photo.

Bien que les chercheurs n’étaient pas en mesure de voir les entrées composant la clé, ils les ont devinées par un processus répétitif qui consistait à changer une lettre ou un chiffre dans la clé et à la renvoyer vers le téléphone visé. À chaque fois qu’ils ont deviné correctement un chiffre, le téléphone l’a accepté. Ils ont réussi à tromper le téléphone de cette manière des milliers de fois « et nous n’avons pas arrêté de le faire avant d’obtenir la clé », a expliqué Matthew D. Green, un professeur de sciences informatiques de cette université qui a dirigé la recherche. Il a précisé qu’une version modifiée de cette attaque pourrait également fonctionner sur des versions plus récentes du système d’exploitation iOS.

« Apple travaille dur pour rendre nos logiciels plus sûrs à chaque publication. Nous apprécions le travail de l'équipe de recherche qui a identifié ce bogue et a attiré notre attention afin que nous puissions le corriger », a indiqué Apple dans un communiqué. L'entreprise a dit avoir fourni un correctif partiel pour iOS 9, mais elle est d’ores et déjà colmatée sur iOS 9.3 qui est disponible depuis quelques heures pour les iPhone à partir du modèle 4S, les iPad à partir de l’iPad 2 et les iPod Touch sur la 5e et 6e génération.

« Même Apple, avec toutes ses compétences - et ils ont des spécialistes en cryptographie vraiment bons - n’a pas été en mesure de le faire assez bien », a déclaré Green au Washington Post. « Aussi, cela me fait peur que nous puissions discuter de l'ajout de portes dérobées au chiffrement alors que nous ne parvenons déjà pas à faire correctement du chiffrement de base ».

Christopher Soghoian, technologue principal à l’American Civil Liberties Union, a estimé que l’attaque de Green met en lumière les dangers liés au fait qu’une entreprise développe son propre chiffrement sans audit indépendant : « les livres d’histoire de la cryptographie sont remplis d’exemples d’algorithmes de chiffrement développés à huis clos qui se sont ramassés de façon spectaculaire ». Selon lui, la meilleure approche reste une conception ouverte. Il a cité en guise d’illustration les protocoles de chiffrement développés par les chercheurs d’Open Whisper Systems qui ont apporté Signal, une plateforme de messagerie instantanée. Ils ont publié leur code, mais les clés, qui sont générées par le destinataire et le bénéficiaire, demeurent secrètes.

Quoi qu’il en soit, pour Green, des technologues comme ceux qui sont à la NSA auraient pu facilement trouver la même faille : « si vous y investissez des ressources, vous trouverez sans doute quelque chose comme ça ». D’ailleurs, il estime que les forces de l’ordre auraient pu s’en servir pour obtenir des médias envoyés via iMessage dans des enquêtes criminelles. À ce propos, l’année dernière, Apple et le gouvernement se sont battus durant de longs mois à Baltimore parce que le gouvernement voulait obliger Apple à trouver un moyen d’obtenir les données de communication en texte clair, ce à quoi l’entreprise s’est opposée, prétextant que ce serait incroyablement coûteux et mettrait en danger la sécurité. Apple avait même dit ne pas avoir les capacités techniques pour fournir en temps réel le contenu chiffré iMessage.

Si cette découverte spécifique n’avait probablement pas pu aider les agents du FBI à récupérer les données du iPhone en leur possession dans l’affaire de l’attentat de San Bernardino (dans le cas du FBI il s’agit de récupérer les données du iPhone tandis qu’ici il s’agit d’intercepter les données transitant entre les dispositifs), elle vient néanmoins mettre de l’ombre sur le mythe qui voudrait que le chiffrement fort n’a laissé aucune ouverture aux forces de l’ordre ainsi qu’aux pirates, a avancé Green.

Source : Washington Post

Voir aussi :

Apple devra faire face à la justice américaine à cause du problème engendré par iMessage lors de la migration vers une autre plateforme

Tim Cook : « vous n'êtes pas notre produit », Apple ne lit jamais vos mails et vos iMessages, selon son PDG

iMessage : Apple pourrait lire vos messages, le chiffrement de son application mis en cause par deux chercheurs

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de LSMetag
Expert confirmé https://www.developpez.com
Le 22/03/2016 à 13:08
Voila comment ça devrait fonctionner. Les services secrets doivent découvrir les failles et les garder pour eux. Plutôt qu'une volontaire faille de sécurité, bien en vue.
0  0 
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 31/03/2016 à 11:42
Citation Envoyé par secuexpert Voir le message
Tu peux m'expliquer la différence entre une clef numérique et alphanumérique? :o
C'est un troll ? Rassurez moi...

Allez je vais tout de même jouer le jeu...
Numérique => (x € [0,9])*
Alphanumérique => (x € [0,9]n[a,z])* (je vous fais gré des majuscules pour ne pas vous embrouiller)

Prenons maintenant une clé de 10 caractères et un cas de brute force pour la trouver :
Numérique : 10*10^3 possibilités
Alphanumérique : environ 3*10^5 possibilités
2  2 
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 31/03/2016 à 13:50
Citation Envoyé par secuexpert Voir le message
Non, c'est une vraie question.
On pourrait en douter vu que vous vous désignez comme un expert en sécurité dans tous vos messages...
La sécurité du chiffrement c'est la première chose qu'on apprend à l'école...

Comme on dit, on en apprend tous les jours et c'est bien mieux ainsi.
1  1 
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 22/03/2016 à 13:43
Bon que la clé soit numérique au lieu d'alphanumérique passons.
Mais 64bits ? Seulement ?
0  1 
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 22/03/2016 à 14:30
même pour les certificats SSL les clés sont minimum du 128 bits et maintenant le standard c'est le 256
0  2 
Avatar de secuexpert
Provisoirement toléré https://www.developpez.com
Le 31/03/2016 à 12:46
Citation Envoyé par transgohan Voir le message
C'est un troll ? Rassurez moi...
Non, c'est une vraie question.
0  3 
Avatar de secuexpert
Provisoirement toléré https://www.developpez.com
Le 30/03/2016 à 21:51
Citation Envoyé par transgohan Voir le message
Bon que la clé soit numérique au lieu d'alphanumérique passons.
Mais 64bits ? Seulement ?
Tu peux m'expliquer la différence entre une clef numérique et alphanumérique? :o
0  6 
Avatar de secuexpert
Provisoirement toléré https://www.developpez.com
Le 30/03/2016 à 21:36
Citation Envoyé par TiranusKBX Voir le message
même pour les certificats SSL les clés sont minimum du 128 bits et maintenant le standard c'est le 256
N'importe quoi.

Ce que tu dis n'a aucun sens. Un certificat SSL/TLS n'a pas de clef de 128 ou 256 bits.

Je ne sais pas où tu as été pêcher ça.
0  7