Des sauvegardes beaucoup plus faciles à "Hacker" avec iOS 10

On a appris ce week-end qu'iOS 10 utilise un nouveau mécanisme de vérification de mot de passe pour les sauvegardes iTunes, qui les rend plus facile à craquer, selon les tests effectués par Elcomsoft, une société spécialisée dans les logiciels conçus pour accéder aux données de l'iPhone et autre smartphone.

 

Les sauvegardes iTunes cryptées et créées sur un Mac ou PC sont protégés par un mot de passe qui peut potentiellement être forcé avec un logiciel de crackage. La méthode de sauvegarde dans iOS 10 "ignore maintenant certains contrôles de sécurité" ayant permis à la société Elcomsoft d'essayer différents mots de passe de sauvegarde, par rapport à iOS 9, et selon eux, iOS 10 permettrait d'être  "environ 2500 fois plus rapide".

Une fois le mot de passe de la sauvegarde obtenu, celui-ci permet d'accéder à toutes les données du téléphone, y compris celles stockées dans le trousseau, trousseau qui détient tous vos mots de passe et d'autres informations sensibles.

Pour l'instant, nous utilisons un système de récupération basé sur le CPU uniquement. Cependant, on remarque que le nouveau contrôle de sécurité est environ 2500 fois plus faible par rapport à l'ancien qui était utilisé lui dans les sauvegardes iOS 9. Nous obtenons ainsi ces vitesses:

• iOS 9 (CPU): 2400 mots de passe par seconde (Intel i5)
• iOS 9 (GPU): 150.000 mots de passe par seconde (NVIDIA GTX 1080)
• iOS 10 (CPU): 6.000.000 mots de passe par seconde (Intel i5)

En termes plus technique, l'analyse de sécurité effectuée par Thorsheim de Peerlyst indique que Apple a cessé d'utiliser un algorithme de hashage PBKDF2 comportant près de 10.000 itérations pour basculer vers algorithme SHA256 avec cette fois-ci une seule itération, permettant une augmentation significative de la vitesse lorsqu'il s'agit bien entendu de forcer un mot de passe.




Dans une déclaration accordée à Forbes, la firme a confirmé qu'elle est bien au courant du problème et que celle-ci travaille sur un correctif, en ce moment même.

Nous sommes au courant d'un problème qui affecte la force de cryptage pour les sauvegardes de périphériques iOS 10 lors de la sauvegarde d'iTunes sur un Mac ou un PC. Nous allons régler ce problème dans une prochaine mise à jour de sécurité. Cependant, cela n'a aucune incidence sur les sauvegardes iCloud.

Nous recommandons aux utilisateurs de s'assurer que leur Mac ou PC sont bien protégés par des mots de passe forts et qu'ils ne sont accessibles que par des utilisateurs autorisés. Une sécurité supplémentaire est également disponible, si besoin en utilisant le chiffrement de disque dur FileVault.

Comme Apple l'a si bien fait remarquer, cette surveillance de la sécurité est limitée aux sauvegardes créées sur un Mac ou PC et n'a aucune incidence sur la sécurité de vos sauvegardes iCloud. La plupart des utilisateurs ne sont pas susceptibles de se soucier de cette question car elle nécessite l'accès au Mac ou PC qui a été utilisé pour effectuer cette même sauvegarde. Apple a des mises à jour pour iOS 10 et macOS Sierra dans les tuyaux, et il est possible qu'un correctif soit inclus dans les nouvelles versions des logiciel. Pour rappel, iOS 10.1 et macOS Sierra 10.12.1 ont été rendu disponibles pour les développeurs et les testeurs bêta publics un peu plus tôt cette semaine.

Cher lecteurs, pas vraiment de raison de vous alarmer surtout si votre Mac (ou peut être PC) est bien protégé. Assurez-vous juste que c'est bien le cas pour vous par contre, si vous sauvegardez via iTunes. 

Pour tous les autres, vous utilisez votre bon vieux Macbook pour vos  sauvegardes ou vous préférez iCloud ?