Discussion :

[Francis Walter]

iCloudHacker : le programme de 70 lignes de code qui contourne la sécurité d’iCloud
avec la méthode de la force brute

Knoy, utilisateur GitBut a mis en place un programme de 70 lignes de code pour contourner le système de sécurité d’Apple pour ses services iCloud. Le code du programme paraît banal avec une exécution sans suspections mais dangereux pour les utilisateurs des services iCloud.

Les utilisateurs d’iCloud ont la possibilité de verrouiller leur Macbook à distance grâce à l’application Find My Mac. Pour ce faire, un code PIN de 4 chiffres est nécessaire. Knoy vient mettre en doute cette mesure de sécurité mise en place par Apple. Il a conçu un programme nommé iCloudHacker qui lui permet de hacker le code PIN demandé par Find My Mac.

Le programme de Knoy simule une souris et un clavier à travers un port USB pour saisir des codes PIN dans l’application Find My Mac comme tout utilisateur normal sans aucun soupçon du système d’exploitation. Le programme exécute une boucle de saisie de code PIN jusqu’à obtenir le code PIN correct de l’utilisateur.

Premièrement, lorsque la machine est mise sous tension, le programme attend 5 secondes pour que la fenêtre pop-up Wi-Fi s’affiche, déplace la souris sur celle-ci et la ferme. Le programme comme alors un brute-forcing (attaque par force brute) qui consiste à saisir une à une toutes les combinaisons de mot de passe possibles grâce à sa simulation du clavier. Après un certain nombre d’essais, Find My Mac aboutit à un lock-out d’une minute.

iCloudHacker patiente comme un utilisateur normal ayant oublié son mot de passe puis recommence à nouveau. Si le programme ne parvient toujours pas à trouver la bonne combinaison, un nouveau lock-out de 5 minutes est déclenché. Mais au lieu d’attendre les 5 minutes, le programme déplace la souris sur le bouton d’arrêt de la machine et procède à un redémarrage système normal. Le procédé est répété autant de fois qu’il faut jusqu’à obtenir la bonne combinaison.

Knoy estime le temps maximum nécessaire pour obtenir la bonne combinaison de code de PIN à 60 heures. Il aurait testé son programme avec succès sur des MacBooks 2010 et 2012. Après un succès de l’attaque, la LED de la machine commence à clignoter pour signaler le succès de l’attaque.


Source : Github

Et vous ?

Apple doit-elle s’inquiéter pour ses services iCloud ?

Quelles mesures devrait-elle prendre pour prévenir ce genre d’attaque ?

[tonnebrre]

waw ça fait plaisir mais c'est nuisible à la santé informatique.

[spyserver]

Ouai ok c'est juste de la force brute, le hack de base quoi ... Apple ne garde pas l'info coté serveur concernant le nbre d'essai, il est la le pb ... pas besoin d'aller plus loin ...

[Tibimac]

Aucune barrière n'est infranchissable c'est toujours une simple question de temps, temps qui souvent réduit si on a un accès physique à la machine.

Ici pour fonctionner on doit avoir un accès physique à la machine, d'autant plus que si celle-ci a été verrouillée c'est qu'elle a probablement été volée et il faut 60h.

Si on a peur une fois la machine volée on verrouille avec le mot de passe et si au bout d'environ 60h on ne l'as toujours pas retrouvé il faut lancé l'effacement à distance.

Néanmoins ce programme peut être utile. C'est déjà vu des personnes qui suite à une rupture amoureuse qui c'est à priori mal passée le mec avait verrouillé via iCloud le Mac de son ex, celle-ci n'ayant plus d'autre possibilité que le formatage et l'éventuelle perte de données quand on a pas de sauvegarde.
Ce programme pourrait permettre d'éviter la perte de données.

[gangsoleil]

Ouai ok c'est juste de la force brute, le hack de base quoi ... Apple ne garde pas l'info coté serveur concernant le nbre d'essai, il est la le pb ... pas besoin d'aller plus loin ...

Si si, il y a besoin d'aller plus loin. Apple a decide de "proteger" les comptes avec un simple code PIN a 4 chiffres, soit 1000 combinaisons au total... Niveau securite, c'est extremement faible -- la preuve, c'est qu'il faut 60 heures en brut-force !

Ce qui est inquietant a mon sens, c'est qu'une entreprise qui fournisse un acces cloud decide d'offrir des acces avec des codes PIN a 4 chiffres, au lieu de chercher, et de fournir, des solutions securisees.

[spyserver]

Je suis d'accord que le code PIN à 4 chiffres est plus que limite pour protéger un service de cloud, ceci étant, en restreignant l'authentification avec nombre d'essais maximum fixé (à 5 par ex) puis ré-activation après email + captcha comme bcp de services le propose, ça va déjà quand même bien limiter la casse ...

[alex.buisson]

Stocker & Exploiter l'IP et le nombre de tentative dans les X dernières heurs semble être un bon moyen de détecter ce type d'attaque, mais ils sont très nombreux les sites qui n'utilisent aucune sécurité de ce type par exemple je crois que pour facebook ce type d'attaque marche aussi (je dois avoir un script bruteforce.py qui traine dans ma virtual machine BackTrack )....

Il n'y aura jamais de procédé sure à 100%.... puisque l'erreur est humaine !

[alex.buisson]

Si si, il y a besoin d'aller plus loin. Apple a decide de "proteger" les comptes avec un simple code PIN a 4 chiffres, soit 1000 combinaisons au total... Niveau securite, c'est extremement faible -- la preuve, c'est qu'il faut 60 heures en brut-force !

Ce qui est inquietant a mon sens, c'est qu'une entreprise qui fournisse un acces cloud decide d'offrir des acces avec des codes PIN a 4 chiffres, au lieu de chercher, et de fournir, des solutions securisees.

Ca c'est vrai, à l'heure ou beaucoup de service mettent en place l'authentification à 2 étapes, le code à 4 chiffres c'est effectivement très "light"!

[Saverok]

Le plus ironique là-dedans c'est qu'il y a eu un sondage très récemment qui indiquait qu'Apple était l'une des entreprises les plus secure au monde !
En même temps, c'est un sondage auprès des utilisateurs lambda très réceptifs au marketing, rien à voir avec des professionnels de l'IT.

Un code PIN ? Quelle vaste blague !!
C'était trop coûteux de faire un code alpha numérique sur 6 caractères mini ? ou encore de la double authentification ??

Je sens que ça va donner lieu à pas mal de vannes sur la iSecurity by Apple

[steel-finger]

Stocker & Exploiter l'IP et le nombre de tentative dans les X dernières heurs semble être un bon moyen de détecter ce type d'attaque, mais ils sont très nombreux les sites qui n'utilisent aucune sécurité de ce type par exemple je crois que pour facebook ce type d'attaque marche aussi (je dois avoir un script bruteforce.py qui traine dans ma virtual machine BackTrack )....

Il n'y aura jamais de procédé sure à 100%.... puisque l'erreur est humaine !

Facebook n'a pas ce type de login, les attaques par bruteforce sont détecté chez eu.

[spyserver]

Oui et puis de toutes façons, quoiqu'on dise plus un système est exposé plus sa sécurité doit être élevé (quid des OS Unix qui n'ont jamais eu besoin d'antivirus car "unexposed"), forcément FB a du blinder sa forteresse pr ce genre d'attaque.

Il sembe qu'Apple en revanche ait complètement sous-estimé ses utilisateurs, et oui il n'y a pas que des Apple-Addict il y a aussi des gens qui réfléchissent un peu au sujet et qui hack :-)

[miky55]

Si si, il y a besoin d'aller plus loin. Apple a decide de "proteger" les comptes avec un simple code PIN a 4 chiffres, soit 1000 combinaisons au total... Niveau securite, c'est extremement faible -- la preuve, c'est qu'il faut 60 heures en brut-force !

Ce qui est inquietant a mon sens, c'est qu'une entreprise qui fournisse un acces cloud decide d'offrir des acces avec des codes PIN a 4 chiffres, au lieu de chercher, et de fournir, des solutions securisees.

C'est marrant mais apparemment, à part Tibimac, quasiment personne n'a compris de quoi il s'agit: ce n'est pas le compte iCloud qui est protégé par un pin, mais le macbook après que son propriétaire ai décidé de le bloquer à distance. Le nombre de tentatives n'est pas stockée sur un serveur puisque l'attaque se fait offline... Une fois le pin récupéré l'attaquant n'aura pas accès au compte iCloud mais uniquement au mac (à priori volé).

Toutes les allusions à la double authentification ou à la sécurité de Facebook sont complètement hors sujet. Bref, le voleur à plus intérêt à reformater la machine plutôt que d'utiliser cet exploit moyen-ageu...

[bombseb]

Si si, il y a besoin d'aller plus loin. Apple a decide de "proteger" les comptes avec un simple code PIN a 4 chiffres, soit 1000 combinaisons au total... Niveau securite, c'est extremement faible -- la preuve, c'est qu'il faut 60 heures en brut-force !

Sur 4 chiffres ca fait 9999 combinaisons, soit presque 10000...

[Deaf]

Quitte à être précis, autant l'être jusqu'au bout: ça fait 10000 possibilités, pourquoi en enlever une?

[Neckara]

Bonjour,

Sur 4 chiffres ca fait 9999 combinaisons, soit presque 10000...

Comment arrives-tu à 9999 ?
Pour un chiffre, on a 10 possibilités (0,1,2,3,4,5,6,7,8 et 9).
Pour quatre chiffre, on a donc 10*10*10*10 = 10^4 = 10000 possibilités.

Après, un mot de passe de 6 caractères dont on ne connaît uniquement le hash md5 met environ 1 heure (et moins de 3$) à se faire craquer.
Mais pour juger de la sécurité de ce système, il faut aussi voir comment le code PIN (ou son hash) est stocké (pour la vérification) et quelle est la procédure de demande du code PIN en détail.

[samhorry]

Well. Tout système est fiable jusqu'à ce qu'une personne lamda vienne le mettre à mal. C'est aussi comme l'informatique évolue la sécurité aussi, je pense qu'en voyant ceci Apple va très vitre corriger le problème ils n'ont pas pris en compte certaines choses, allez savoir pourquoi. Quand un système est fiable il ne l'est jamais trop longtemps. Il faudra toujours qu'une personne viennent mettre au clair du jour cette faille qui reste encore caché.

[spyserver]

Le nombre de tentatives n'est pas stockée sur un serveur puisque l'attaque se fait offline

On a parfaitement compris, on pointe justement du doigt qu'une telle procédure en "full offline" est devenue obsolète, c'est la où le bas blesse, au dela de 5 essai echoué, un mail est envoyé avec renouvellement du code PIN par exemple et impossibilité de se relogguer c'est pourtant simple, n'importe quel système actuel fonctionnant avec des codes PIN (CB,carte SIM,etc.) ont un nombre d'essai max, donc non nous ne sommes pas hors sujet. Ce hack est désuet et la procédure Apple aussi.

[miky55]

On a parfaitement compris, on pointe justement du doigt qu'une telle procédure en "full offline" est devenue obsolète, c'est la où le bas blesse, au dela de 5 essai echoué, un mail est envoyé avec renouvellement du code PIN par exemple et impossibilité de se relogguer c'est pourtant simple, n'importe quel système actuel fonctionnant avec des codes PIN (CB,carte SIM,etc.) ont un nombre d'essai max, donc non nous ne sommes pas hors sujet. Ce hack est désuet et la procédure Apple aussi.

Je ne te visais pas en particulier, mais d'autres commentaires laissent entendre que c'est iCloud qui est protégé par un pin à 4 chiffres alors que c'est le PC après que l'utilisateur l'ai bloqué via findMyMac disponible depuis iCloud. Le fait que le déblocage se fasse en full offline est plutôt logique puisqu'il s'agit de débloquer une machine physique pas un service online.

Pour conclure je ne pense pas qu'un tel service de blocage à distance nécessite une haute sécurité de par sa nature. D'ailleurs la plupart des PCs tournant sous Windows ou Linux ne disposent pas d'un tel système en natif, cette démo de brutforce n'a pas grand intérêt par ailleurs puisqu'il est possible de contourner cette protection en déconnectant simplement le wifi avant que le pc soit bloqué...

[bombseb]

Quitte à être précis, autant l'être jusqu'au bout: ça fait 10000 possibilités, pourquoi en enlever une?

Oui autant pour moi...

[spyserver]

Oui tout à fait mais je me sentais obliger de répondre :-) aujourd'hui une machine est de plus en plus liée à un service online (il n'y a qu'a regarder les consoles qui nécessitent quasiment une connexion permanente pr fonctionner), pour la partie blocage à distance, certes une simple mise hors connexion suffit, mais la c'est davantage fonctionnel, au final c'est une "sureté" supplémentaire qui est proposée mais qui n'est pas garantie à 100% loin de la, la personne qui vole la machine en général étant au courant de ce genre de chose ... Mais dans le cas où la machine est bloquée, il y clairement une faille ds le système actuel selon moi.