iOS 10 : les sauvegardes sont à la portée des hackers

Reynald Fléchaux,

La dernière version d’iOS protège mal les archives stockées sur Mac ou PC. Une cible de choix pour des hackers. Apple travaille à une mise à jour.

Les sauvegardes d’iOS 10, stockées sur PC ou Mac (via iTunes), sont beaucoup moins sûres qu’avec les anciennes versions de l’OS mobile. Selon une analyse de la société russe Elcomsoft, cette « faille de sécurité majeure », introduite par la dernière version du système d’exploitation sortie le 13 septembre, met les archives protégées par mot de passe à la portée d’une attaque par force brute. « Le nouveau mécanisme (dans iOS 10, NDLR) saute certains contrôles de sécurité, nous permettant de tester des mots de passe approximativement 2 500 fois plus vite comparé à l’ancien mécanisme présent dans iOS 9 et antérieur », écrit Oleg Afonin, d’Elcomsoft. En cause un affaiblissement du chiffrement protégeant le mot de passe de l’archive.

L’affaire est embarrassante pour Apple, car ces fichiers de back-up constituent des cibles de choix pour des hackers. Ils renferment en effet souvent des informations très utiles pour les pirates, comme des mots de passe ou token d’authentification pour des comptes mail ou de réseaux sociaux. Dans un communiqué, la firme de Cupertino a reconnu le problème, tout en précisant que les sauvegardes sur iCloud ne sont pas concernées. Apple affirme travailler à une mise à jour de sécurité qui devrait renforcer la protection des mots de passe. Sans toutefois préciser quand cet update sera disponible.

6 millions de mots de passe par seconde

elcomsoft
Elcomsoft Phone Breaker, un outil pour s’attaquer aux archives d’iOS, et exploitant la faille de la version 10 de l’OS !

Selon les chiffres d’Elcomsoft, alors qu’une attaque par force brute sur iOS 9 ne permet de tester que 2 400 mots de passe par seconde avec une machine dotée d’un processeur Intel i5, ce taux monte à 6 millions d’essais par seconde avec iOS 10. Notons qu’Elcomsoft propose un outil permettant précisément de déchiffrer les archives d’iPhone et de Blackberry (sur la base de dictionnaires de mots de passe). Mais la dernière version de l’outil (6.10) embarque un code exploitant la faille d’iOS 10 et permet d’essayer 6 millions de mots de passe par seconde afin de décoder les backups. Elle est vendue 79 $ dans sa version basique.

A lire aussi :

iOS 10 sur iPhone 7 déjà jailbreaké ?

iOS 10 : des évolutions et un bug

Message au FBI : hacker un iPhone ne coûte que 100 dollars !