Les sauvegardes d’iOS 10, stockées sur PC ou Mac (via iTunes), sont beaucoup moins sûres qu’avec les anciennes versions de l’OS mobile. Selon une analyse de la société russe Elcomsoft, cette « faille de sécurité majeure », introduite par la dernière version du système d’exploitation sortie le 13 septembre, met les archives protégées par mot de passe à la portée d’une attaque par force brute. « Le nouveau mécanisme (dans iOS 10, NDLR) saute certains contrôles de sécurité, nous permettant de tester des mots de passe approximativement 2 500 fois plus vite comparé à l’ancien mécanisme présent dans iOS 9 et antérieur », écrit Oleg Afonin, d’Elcomsoft. En cause un affaiblissement du chiffrement protégeant le mot de passe de l’archive.
L’affaire est embarrassante pour Apple, car ces fichiers de back-up constituent des cibles de choix pour des hackers. Ils renferment en effet souvent des informations très utiles pour les pirates, comme des mots de passe ou token d’authentification pour des comptes mail ou de réseaux sociaux. Dans un communiqué, la firme de Cupertino a reconnu le problème, tout en précisant que les sauvegardes sur iCloud ne sont pas concernées. Apple affirme travailler à une mise à jour de sécurité qui devrait renforcer la protection des mots de passe. Sans toutefois préciser quand cet update sera disponible.
Selon les chiffres d’Elcomsoft, alors qu’une attaque par force brute sur iOS 9 ne permet de tester que 2 400 mots de passe par seconde avec une machine dotée d’un processeur Intel i5, ce taux monte à 6 millions d’essais par seconde avec iOS 10. Notons qu’Elcomsoft propose un outil permettant précisément de déchiffrer les archives d’iPhone et de Blackberry (sur la base de dictionnaires de mots de passe). Mais la dernière version de l’outil (6.10) embarque un code exploitant la faille d’iOS 10 et permet d’essayer 6 millions de mots de passe par seconde afin de décoder les backups. Elle est vendue 79 $ dans sa version basique.
A lire aussi :
iOS 10 sur iPhone 7 déjà jailbreaké ?
iOS 10 : des évolutions et un bug
Message au FBI : hacker un iPhone ne coûte que 100 dollars !
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…
