Le FBI a forcé Apple à ne pas crypter les sauvegardes iCloud

most-wanted ipa ipad iphoneEn pleine affaire du déverrouillage des deux iPhone du tueur de Pensacola en Floride, Apple avait publié un rapport de transparence sur ses pratiques en matière de sécurité et de vie privée. Mais une nouvelle information vient mettre à mal une partie des arguments tendances d'Apple. Reuters vient d'affirmer aujourd'hui qu'Apple s'était incliné sous la pression du Bureau fédéral d'investigation (FBI), qui aurait exigé que la firme de Cupertino abandonne son intention de déployer un cryptage de bout en bout pour les sauvegardes des appareils sur iCloud, affirmant que cela nuirait aux enquêtes.

ios iphone 8 plus s curit  faille masque mugshot

Apple aurait cédé au FBI sur le chiffrement des sauvegardes iCloud

Bien qu'Apple ait résisté aux pressions du FBI qui, en 2016, souhaitait qu'il ajoute une porte dérobée à iOS pour contourner le code qui limite les tentatives de mot de passe à dix tentatives consécutives, il n'a jamais utilisé de chiffrement de bout en bout pour les sauvegardes d'appareils iOS dans iCloud, et nous savons désormais pourquoi.

Le renversement du géant de la technologie, il y a environ deux ans, n'a jamais été signalé auparavant. Il montre à quel point Apple est prêt à aider les agences américaines d'application de la loi et de renseignement, malgré une ligne plus dure dans les litiges juridiques de grande envergure avec le gouvernement et se présentant comme un défenseur des informations de ses clients.

Selon un ancien employé d'Apple, le géant de la technologie de Cupertino était motivé pour éviter les mauvaises relations publiques et ne voulait pas être dépeint par les fonctionnaires comme une entreprise qui protège les criminels.

Apple aurait en effet abandonné les projets Plesio et KeyDrop liés au chiffrement iCloud, il y a deux ans.

Abstenez-vous d'utiliser la fonction de sauvegarde iCloud jusqu'à ce qu'Apple déploie un chiffrement de bout en bout


Apple admet ouvertement avoir fourni des sauvegardes d'appareils iOS à partir d'iCloud aux agences d'application de la loi, selon le dernier rapport de transparence de l'entreprise qu'on a relayé il y a quelques jours :

Apple reçoit régulièrement des demandes multi-appareils liées à des enquêtes sur les fraudes. Les demandes basées sur l'appareil recherchent généralement les détails des clients associés aux appareils ou aux connexions d'appareils aux services Apple.

Si Apple devait chiffre les sauvegardes d'appareils iOS dans iCloud, cela ajouterait une complexité énorme pour les pirates et autres personnes ayant accès aux serveurs, puisqu'il faudrait une clé en plus du mot de passe utilisateur. Et le FBI aurait également mis son veto pour des questions de sécurité nationale.

Par exemple, alors que le service iMessage est chiffré de bout en bout, les conversations stockées dans une sauvegarde iCloud ne le sont pas.
En d'autres termes, même si la fonction Messages dans iCloud qui garde votre messagerie synchronisée entre les appareils utilise est sécurisée, elle n'a aucun sens si vous activez la sauvegarde iCloud. Selon Apple, cela vous permet de récupérer vos messages si vous perdez l'accès au trousseau iCloud et à tous les appareils de confiance en votre possession. 

De plus, Apple utilise le chiffrement de bout en bout iCloud de manière sélective pour des éléments tels que vos entrées d'agenda, la base de données Santé, le trousseau iCloud et les mots de passe Wi-Fi enregistrés, mais pas vos photos, les fichiers de votre lecteur iCloud, les e-mails et autres catégories. D'où l'analyse de vos photos pour dénicher des déviances.

Le déverrouillage forcé

Il y a aussi le périphérique GrayKey utilisé pour les enquêtes à haute importance où l'iPhone du criminel est verrouillé par un mot de passe. Le boitier utilisé par le FBI dans certaines affaires.

Cela ne signifie pas que les derniers iPhones d'Apple sont intrinsèquement non sécurisés ou sujets au piratage avec des outils tels que l'appareil GrayShift ou le logiciel Cellebrite, cela signifie simplement que iOS peut être piraté. C'est ce que font les hackers pour réaliser un jailbreak. En aucun cas, le coprocesseur Security Enclave intégré qui contrôle le chiffrement et évalue un code d'accès ou Face ID / Touch ID n'est compromis.

Ce que font des outils comme GrayKey, c'est deviner le mot de passe en exploitant les failles du système d'exploitation iOS pour supprimer la limite de dix tentatives de mot de passe. Après avoir supprimé ce logiciel, ces outils profitent simplement d'une attaque par force brute pour essayer automatiquement des milliers de codes d'accès jusqu'à ce que l'un fonctionne. A chaque fois, l'évaluation dure 80 ms.

Un mot de passe à quatre chiffres, la longueur par défaut précédente, prendrait en moyenne environ sept minutes à deviner. S'il s'agit de six chiffres, cela prendrait en moyenne environ 11 heures. Huit chiffres: 46 jours. Dix chiffres: 12,5 ans.

Si le code d'accès utilise à la fois des chiffres et des lettres, il y a beaucoup plus de codes d'accès possibles. Un mot de passe alphanumérique à six caractères prendrait en moyenne 72 ans à deviner.

Enfin, pour revenir au sujet, Apple a déclaré dans son rapport ne pas vouloir créer une porte dérobée, même pour les gentils. La firme devrait donc maintenir le cap mais sa position sur le non cryptage des sauvegardes iCloud pose question.



Conseils de sécurité


Si vous craignez pour votre sécurité, mieux vaut donc utiliser un code à 6 chiffres minimum, ainsi qu'une sauvegarde locale via votre Mac ou PC.

Source

10 réactions

N103 - iPhone

@AlienFall - iPhone premium
Réglages > Touch ID et code (ou Face ID et code sûrement) > Accessoires USB

22/01/2020 à 18h25

Exasky - iPhone

@Alban
Ça reste une erreur de dire cryptage (en tout cas dans le monde de l'informatique)

22/01/2020 à 18h19

AlienFall - iPhone premium

@Artifix_ - iPhone premium
Comment tu désactives le port ? Et pour la recharge tu fais comment du coup ?

Merci

22/01/2020 à 12h49

Artifix_ - iPhone premium

Personnellement code à 12 chiffres et le port lightning désactivé si l’iPhone est verrouillé normalement je risque pas grand chose

21/01/2020 à 21h01

vampirehilare - iPhone

La CIA n’a jamais réussi à cracker Time Capsule alors que les autres bornes wi-fi serveur OUI! Donc oui je te le conseille franchement

21/01/2020 à 19h39

vampirehilare - iPhone

Je suis particulièrement attaché à la sécurité informatique en général, c’est bon à savoir merci. Bon ben du coup mon code de huit chiffres va passer à dix!

21/01/2020 à 19h34

N103 - iPhone

que pensez-vous de l’AirPort Time Capsule en tant qu’alternative d’iCloud ?

21/01/2020 à 17h44

Lord Redemptor - iPhone

Ne pas être dépeint comme une entreprise aidant les criminels. Pourtant ça aide ceux qui espionnent les particuliers... :)

21/01/2020 à 17h08

Alban (rédacteur)

@Exasky - iPhone :
Le cryptage se dit bien, cf https://fr.wikipedia.org/wiki/Chiffrement

21/01/2020 à 16h23

Exasky - iPhone

Super article !
Cependant le mot "cryptage" n'existe pas, le terme correct est "chiffrement" ;)

21/01/2020 à 16h12

Donnez votre avis
Cliquez pour commenter
Vous aimerez peut-être

Suivez-nous avec notre app iSoft
Articles populaires
Les derniers articles