Il existe une méthode pour déverrouiller un iPhone en force brute (MAJ)
Matthew Hickey travaille dans la sécurité informatique depuis plusieurs années et il a même fondé” un cabinet de cybersécurité du nom de Hacker House. En fin de semaine dernière, l’expert a révélé avoir découvert une nouvelle technique permettant de contourner les mesures de sécurité des iPhone, une technique permettant ainsi de déverrouiller un téléphone en force brute.
Apple ne plaisante pas en matière de sécurité et l’entreprise américaine a ainsi mis en place une fonction sur iOS afin d’éviter ce genre d’attaque.
Lorsque l’utilisateur saisit dix mauvais mots de passe, la plateforme peut en effet se bloquer et effacer tout le contenu du terminal lorsque l’option associée est activée sur les réglages.
iOS : une nouvelle technique pour déverrouiller un iPhone en force brute
Matthew Hickey a cependant découvert une méthode pour contourner cette limitation en trompant le système de protection de la plateforme et en s’arrogeant le droit de multiplier les tentatives autant que nécessaire. En d’autres termes, le chercheur en sécurité aurait trouvé un moyen d’attaquer n’importe quel iPhone en force brute.
Plus inquiétant encore, la technique utilisée semble assez simple à mettre en oeuvre.
Au lieu de saisir un à un les mots de passe, la technique imaginée par l’expert consiste à envoyer au téléphone une chaîne contenant toutes les combinaisons de code, sans espaces. Au lieu de tester chaque code un à un, l’iPhone a donc la possibilité de lire toutes les combinaisons en une seule fois et cette astuce suffit visiblement à contourner les mesures de protection prises par les ingénieurs d’Apple.
Apple a été informé du bug
Matthew Hickey a bien entendu procédé à de multiples tests de son côté et l’un d’eux a été filmé. Dans la vidéo, on voit ainsi le chercheur utiliser une combinaison composée de tous les nombres compris entre 0000 et 9999 au travers d’une simple chaîne de caractère. Avec succès.
Si cette technique fonctionne, c’est principalement en raison du fonctionnement des routines sur iOS. La fonction associée à la frappe au clavier a en effet le dessus sur celle de l’effacement et la méthode du chercheur fonctionne donc avec tous les codes à 4 ou 6 chiffres.
En revanche, cette technique demande beaucoup de temps puisque chaque combinaison doit être testée par le téléphone.
Apple a bien entendu été informé du bug et il ne serait donc pas surprenant que de nouvelles mesures ne soient prises pour iOS 12.
MAJ : Apple a répondu aux allégations de l’expert. D’après l’entreprise, le protocole de test mis en place était incorrecte. Le chercheur a reconnu certaines failles. D’après lui, toutes les combinaisons ne serait en effet pas envoyées à l’enclave sécurisée de l’appareil. En d’autres termes, toutes les combinaisons ne serait réellement pas testées par la plateforme.
https://vimeo.com/213826444
Apple IOS <= 12 Erase Data bypass, tested heavily with iOS11, brute force 4/6digit PIN's without limits (complex passwords YMMV) https://t.co/1wBZOEsBJl – demo of the exploit in action.
— Hacker Fantastic (@hackerfantastic) June 22, 2018
Vous pouvez rétracter la news, ça a été démenti.
C’est maintenant un fake news…
Et non cette méthode fonctionne parfaitement.
On a édité l’article, le chercheur lui-même a reconnu quelques failles dans la mise en oeuvre de sa méthode.
d’accord, mais ne serait-ce pas mieux de carrément effacer l’article ? Ou le renommer complètement ? Parce que là, ça devient un pur clickbait.. Il n’y a rien dans l’article qui correspond au sujet, par contre le sujet continue d’être publié dans Google News et de ramener du traffic et du adsense €€…
C’est comme si publiais un article avec le titre “Le site web Fredzone ferme”, et faisait une mise à jour 1 heure plus tard, précisant que le site web Fredzone ferme les commentaires sur les sujet Apple par exemple. Ce qui n’a plus aucun rapport avec le titre original.
Bah si, il y a un rapport. On a cru qu’un chercheur en sécurité avait trouvé une méthode pour déverrouiller un iPhone, mais il semblerait que la méthode en question ne soit pas fonctionnel.
Tout est précisé dans l’article et la mise à jour spécifie bien les derniers déroulements de l’affaire. S’il y en a d’autres, il sera mis à jour de la même manière.
Meme commentaire sur macrumors pour le même problème sur la même news il y a 3 jours:
“So… when is Macrumors going to publish a front page article about the fact
that this story was bunk from the start? Because if you publish
something that turns out to be incorrect as a front page story, you
should issue a front page story about that too, not just update the
existing post and push it to the side.
Il a édité l’article c’est largement suffisant. Publier un démenti c’est une fausse bonne idée. Si demain l’astuce s’avère efficace, il faudra du coup oublier un démenti pour le démenti. Totalement absurde. Cela dit c’est une bonne idée pour faire de la page vue haha.
Quant à supprimer la page, votre question à elle seule prouve votre méconnaissance flagrante du web. Avez vous la moindre idée de l’impact d’une 404 sur le référencement d’un site ? Non, parce que comme 99% des gens, vous donnez votre avis sans avoir la moindre connaissance du domaine sur lequel vous intervenez. Mais bon, continuez donc à nius gratifier de vos brillantes idées.
404 ? C’est du lien généré pour google news. C’est jetable de toute façon. Et pour le comble, il y avait en dessous dans google news un article qui annonçait déjà que c’était faux..
Du lien généré pour Google News ? oO
Je pense que tu ne comprends pas trop notre manière de fonctionner. On ne pisse pas de l’article, on fait un gros boulot pour essayer de proposer les sujets les plus sympas à nos lecteurs. Derrière, on est une équipe de 8 personnes, tous rémunérés.
Je veux bien être sympa, mais tes insinuations sont limites. Nous, on n’a pas un gros groupe média derrière, ni même des actionnaires et encore moins une armée de stagiaires.
On n’est peut-être pas parfait, mais on fait notre maximum et c’est vraiment blessant de lire ce genre de choses.