Knox – Un chercheur anonyme remet en cause la sécurité des Samsung Galaxy

1
187

Un chercheur en sécurité indépendant souhaitant garder l’anonymat s’est penché sur Knox, la plateforme de chiffrement dédiée aux terminaux Samsung. Il découvre des codes PIN stockés en clair et des générateurs de clés particulièrement faibles. Samsung réfute ses allégations.

La technologie Samsung Knox a été créée dans le but de sécuriser les données des smartphones de la marque coréenne. Mais est-elle vraiment fiable ? C’est ce que remet en cause un chercheur anonyme se faisant connaitre sous le pseudo Ares dans une analyse publiée il y a quelques jours, après avoir réaliser des expérimentations sur un Samsung Galaxy S4.

Principe de fonctionnement de Samsung Knox et problèmes

Knox a pour objectif de créer un espace sécurisé isolé de tout le reste sur l’appareil afin de protéger les applications et les données sensibles. Pour cela, cet espace est basé sur un système de fichier alternatif et est totalement chiffré. Seul l’utilisateur peut normalement y accéder en saisissant un mot de passe.

Toutefois, un code PIN défini par l’utilisateur lors de l’activation de l’appareil permet une récupération du mot de passe en cas d’oubli. Le hacker Ares semble avoir découvert d’importantes vulnérabilités au sein de ce système… dont un fichier non chiffré accessible sur le smartphone, contenant le code PIN. Autant dire que si cette information se vérifie, la sécurité du Knox ne tient plus la route.

main-visual

A la saisie du fameux code PIN, Ares explique que le système répond avec une indication permettant de retrouver le mot de passe : le premier et dernier caractère de celui-ci ainsi que sa longueur totale. « Il est donc évident que Samsung Knox sauvegarde le mot de passe quelque part sur le terminal », souligne l’auteur, qui estime que c’est une très mauvaise stratégie de sécurité, car cela représente une faille intrinsèque dans le système.

Allant plus loin dans son analyse, le chercheur en sécurité découvre que le mot de passe est stocké dans un fichier intitulé « containerpassword_1.key » (bien joué). Heureusement, ce fichier est chiffré,  mais la clé de chiffrement est générée à partir du numéro d’identification du terminal (Android ID)… qui est lui-même aisément accessible. Donc là encore, il y a un risque.

Réaction immédiate de Samsung

Evidemment, Samsung n’est resté insensible à ces allégations. Dans une note de blog, le constructeur avoue que, pour des raisons techniques, le mot de passe est bien stocké sur le terminal, mais de manière très sécurisée, avec à la clé des procédures de blocage en cas d’accès non autorisé. Samsung nie également s’appuyer sur l’identifiant Android ID pour générer des clés de chiffrement.
 
Enfin, le fournisseur précise que le logiciel testé par le chercheur anonyme serait une ancienne version de Knox et qu’une version plus récente et plus sécurisée, baptisée « My Knox ». « Ares », de son côté, rétorque ne pas avoir pu installer cette version, car elle ne fonctionnerait que sur Galaxy S5 et  Galaxy Note 4, les smartphones haut de gamme les plus récents de la marque. La question de la sécurité de Knox reste donc ouverte sur des modèles plus anciens, qui se sont écoulés par millions.
 
 
Source : 01Net

 

Les commentaires sont fermés.