Apple – iOS 10 affaibli la sécurité du chiffrement des sauvegardes

1
139

Attention à tous ceux ayant lancé la mise à jour vers iOS 10 : le système de chiffrement des sauvegardes a été très affaibli, les rendant vulnérables. On parle tout de même d’une multiplication de 2 500 tentatives possibles à la seconde !

Est-ce une erreur technique ou un souhait d’Apple d’avoir rendu vulnérable le chiffrement des sauvegardes sous iOS 10 ? Difficile à dire. En tout cas, c’est un fait avéré aujourd’hui, découvert par la société russe Elcomsoft, spécialisée en cracking forensic et recovery. D’après leur rapport de sécurité et d’alerte, il est possible de tester près de 6 million de mots de passe via une attaque par force brute sur une sauvegarde d’Iphone réalisée sous iOS 10, et ce, avec un simple CPU Intel i5 ! Ce chiffre est à rapprocher au 2 400 tests par seconde qu’il était possible de réaliser avec le même CPU sur une sauvegarde iOS 9… La vulnérabilité est donc très importante.

elcomsoft_logo

L’expert en sécurité des mots de passe Per Thorsheim explique dans un billet de blog que cette faiblesse résulte d’un changement opéré par Apple au niveau des algorithmes de hachage : Avec iOS 9, l’éditeur recourait à une fonction de hachage avec 10 000 itérations, PBKDF2. Dans iOS 10, SHA256 a été introduit avec une itération unique. Cette modification permet de tester beaucoup plus de mots de passe par seconde qu’auparavant.

C’est donc l’ensemble de l’implémentation du mécanisme de sécurisation des sauvegardes locales iTunes sous iOS 10 qui est problématique. Elcomsoft a réalisé ses tests avec son logiciel Elcomsoft Phone Breaker 6.10, spécialement mis à jour pour la gestion de iOS 10. Résultat des comptes, le Proof of Concept (PoC) affiche un taux de réussite situé entre 80 et 90%. Notons que seuls les utilisateurs créant des sauvegardes en local sous iOS 10 sont concernés par le problème de sécurité (et non via iTunes), donc potentiellement tous ceux pour qui l’espace iTunes est trop petit (limité à 5 Go), ce qui fait pas mal de monde. Apple a rapidement réagit à l’alerte et a annoncé un prochain correctif :

Nous avons pris connaissance d’un problème qui affecte la sécurité des sauvegardes iTunes des appareils sous iOS 10, à destination des PC et des Mac. Nous résoudrons le problème à l’aide d’une mise à jour de sécurité“, affirme Apple à Forbes. La firme à la pomme conseille aux utilisateurs concernés de “s’assurer que leurs ordinateurs soient protégés avec des mots de passe sûrs et ne soient pas accessibles par des inconnus. Une sécurité supplémentaire est également disponible au travers du chiffrement complet du disque dans FileVault.

Pour Oleg Afonin d’Elcomsoft, les backups iOS présentent un intérêt évident pour des pirates puisque ceux-ci constituent l’unique solution d’accéder au Keychain des iPhone tournant sous iOS 10, soit des modèles iPhone 5S aux iPhone 7 et 7 Plus. Ainsi, par exemple, si les autorités d’un État souhaitaient accéder aux données d’un de ces modèles mais sans détenir le mot de passe, l’option serait alors de forcer l’appareil à générer une sauvegarde locale pour la récupérer depuis un ordinateur, le tout sans avoir à déverrouiller le smartphone puis de lancer une attaque en force brute contre une instance iTunes sur un poste de travail. La technique aurait pu par exemple être utilisée par le FBI lors de l’affaire de San Bernardino.

Dans le cas où un appareil sous iOS 10 tomberait dans les mains d’un pirate (par exemple des appareils récupérés depuis des vols à l’arrachée), il serait alors possible pour ce dernier d’exploiter la vulnérabilité pour s’attaquer à une sauvegarde locale sur l’appareil et en cracker le mot de passe, lui donnant un accès total à l’ensemble des données privées de la victime. Pire encore dans le cas où la victime utiliserait le même mot de passe pour sa sauvegarde que pour son compte Apple : le pirate pourrait dans ce cas précis avoir un accès direct au compte utilisateur et aux données critiques tels que les moyens de paiements enregistrés et aux achats.

Bref, c’est une faille de sécurité à ne pas négliger ! Soyez attentif à la sortie du patch correctif, aucune date n’est encore annoncée à ce jour.

1 COMMENTAIRE

  1. Bonjour,
    merci pour cet article (même si je suis un peu déçu par Apple de cette régression 😉
    Je fais une confusion ou “(et non via iTunes)” c’est plutôt “(et non via iCloud)” et “espace iTunes est trop petit” = “espace iCloud est trop petit”…?
    Cordialement,
    Mathieu

Les commentaires sont fermés.