iOS 10 : le système de protection des sauvegardes est une véritable passoire

iOS 10 est disponible depuis une semaine environ en version finale et les retours des utilisateurs ne sont pas tous élogieux. Loin de là, même. Entre les bugs et les instabilités, la plateforme a été vivement critiquée et la situation n’est sans doute pas près de s’inverser, car le système de protection des sauvegardes mis en place par Apple serait… une véritable passoire.

L’information nous vient tout droit d’une entreprise du nom de Elcomsoft. Si vous ne la connaissez pas, sachez qu’elle a été fondée dans les années 90 à Moscou.

Sécurité iOS 10

iOS 10 et la sécurisation des données, ce n’est pas vraiment ça.

Elle se positionne sur un segment très particulier et elle développe ainsi une solution spécialisée dans le craquage de mots de passe.

iOS 10 est moins sécurisé que la version précédente

Attention cependant, car cette entreprise se situe du bon côté de la barrière, légalement parlant. La solution respecte la loi et toutes les exigences des agences gouvernementales et l’éditeur a d’ailleurs été sacré Microsoft Partner et Intel Software Partner.

Elcomsoft connaît donc bien son affaire et ses experts passent un temps considérable à tester la sécurité des principales plateformes présentes sur le marché.

En s’intéressant de près à iOS 10, ses ingénieurs ont découvert une faille de sécurité majeure située au niveau du système de protection des sauvegardes. D’après eux, cette faille permettrait à un éventuel attaquant de contourner certains mécanismes de sécurité utilisés lors de la création des mots de passe protégeant les sauvegardes locales faites par l’utilisateur.

Le pire reste à venir, car cette fameuse faille rendrait la plateforme bien plus vulnérable aux attaques de type brute force et elle permettrait ainsi d’essayer des mots de passe 2 500 fois plus vite que sur la version précédente.

Six millions de mots de passe testés en une seconde

Mais ce n’est pas le chiffre le plus impressionnant. Grâce à ce nouveau mécanisme, les chercheurs d’Elcomsoft ont pu tester pas moins de six millions de mots de passe… par seconde sur une sauvegarde réalisée sous iOS 10 en s’appuyant uniquement sur le CPU de leur machine de test. A titre de comparaison, ils n’ont jamais pu dépasser les 2 400 mots de passe sur les sauvegardes réalisées avec iOS 9.

C’est évidemment très impressionnant, mais les chercheurs n’ont pas l’intention d’en rester là et ils vont prochainement réaliser de nouveaux tests en intégrant cette fois l’accélération graphique.

Sur iOS 9, l’utilisation du GPU leur avait d’ailleurs permis d’atteindre les 150 000 tentatives par seconde.

En combinant cette faille avec les dictionnaires habituels, un hacker expérimenté devrait donc être en mesure de cracker très rapidement n’importe quelle sauvegarde réalisée avec iOS 10. C’est évidemment un problème et il faut d’ailleurs noter que la firme de Cupertino a confirmé l’existence de cette faille, tout en précisant que les sauvegardes iCloud n’étaient pas concernées par le souci.

En outre, Apple a aussi indiqué que ses ingénieurs travaillaient sur un correctif, sans pour autant indiquer la date à laquelle il sera possible d’en profiter.

Mots-clés applehackingios 10