IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

iCloudHacker : le programme de 70 lignes de code qui contourne la sécurité d’iCloud


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Avatar de Francis Walter
    Homme Profil pro
    Développeur informatique
    Inscrit en
    février 2012
    Messages
    2 317
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : février 2012
    Messages : 2 317
    Points : 26 925
    Points
    26 925
    Par défaut iCloudHacker : le programme de 70 lignes de code qui contourne la sécurité d’iCloud
    iCloudHacker : le programme de 70 lignes de code qui contourne la sécurité d’iCloud
    avec la méthode de la force brute

    Knoy, utilisateur GitBut a mis en place un programme de 70 lignes de code pour contourner le système de sécurité d’Apple pour ses services iCloud. Le code du programme paraît banal avec une exécution sans suspections mais dangereux pour les utilisateurs des services iCloud.

    Les utilisateurs d’iCloud ont la possibilité de verrouiller leur Macbook à distance grâce à l’application Find My Mac. Pour ce faire, un code PIN de 4 chiffres est nécessaire. Knoy vient mettre en doute cette mesure de sécurité mise en place par Apple. Il a conçu un programme nommé iCloudHacker qui lui permet de hacker le code PIN demandé par Find My Mac.

    Le programme de Knoy simule une souris et un clavier à travers un port USB pour saisir des codes PIN dans l’application Find My Mac comme tout utilisateur normal sans aucun soupçon du système d’exploitation. Le programme exécute une boucle de saisie de code PIN jusqu’à obtenir le code PIN correct de l’utilisateur.

    Premièrement, lorsque la machine est mise sous tension, le programme attend 5 secondes pour que la fenêtre pop-up Wi-Fi s’affiche, déplace la souris sur celle-ci et la ferme. Le programme comme alors un brute-forcing (attaque par force brute) qui consiste à saisir une à une toutes les combinaisons de mot de passe possibles grâce à sa simulation du clavier. Après un certain nombre d’essais, Find My Mac aboutit à un lock-out d’une minute.

    iCloudHacker patiente comme un utilisateur normal ayant oublié son mot de passe puis recommence à nouveau. Si le programme ne parvient toujours pas à trouver la bonne combinaison, un nouveau lock-out de 5 minutes est déclenché. Mais au lieu d’attendre les 5 minutes, le programme déplace la souris sur le bouton d’arrêt de la machine et procède à un redémarrage système normal. Le procédé est répété autant de fois qu’il faut jusqu’à obtenir la bonne combinaison.

    Knoy estime le temps maximum nécessaire pour obtenir la bonne combinaison de code de PIN à 60 heures. Il aurait testé son programme avec succès sur des MacBooks 2010 et 2012. Après un succès de l’attaque, la LED de la machine commence à clignoter pour signaler le succès de l’attaque.


    Source : Github

    Et vous ?

    Apple doit-elle s’inquiéter pour ses services iCloud ?

    Quelles mesures devrait-elle prendre pour prévenir ce genre d’attaque ?
    Vous avez envie de contribuer au sein du Club Developpez.com ?

    Vous êtes passionné, vous souhaitez partager vos connaissances en informatique, vous souhaitez faire partie de la rédaction.
    Il suffit de vous porter volontaire et de nous faire part de vos envies de contributions :
    Rédaction d'articles/cours/tutoriels, Traduction, Contribution dans la FAQ, Rédaction de news, interviews et témoignages, Organisation de défis, de débats et de sondages, Relecture technique, Modération, Correction orthographique, ...etc.
    Vous avez d'autres propositions de contributions à nous faire ? Vous souhaitez en savoir davantage ? N'hésitez pas à nous approcher.

  2. #2
    Membre du Club
    Homme Profil pro
    Inscrit en
    mars 2010
    Messages
    93
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Maroc

    Informations forums :
    Inscription : mars 2010
    Messages : 93
    Points : 60
    Points
    60
    Par défaut
    waw ça fait plaisir mais c'est nuisible à la santé informatique.

  3. #3
    Membre confirmé
    Homme Profil pro
    Inscrit en
    décembre 2011
    Messages
    257
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : décembre 2011
    Messages : 257
    Points : 502
    Points
    502
    Par défaut
    Ouai ok c'est juste de la force brute, le hack de base quoi ... Apple ne garde pas l'info coté serveur concernant le nbre d'essai, il est la le pb ... pas besoin d'aller plus loin ...

  4. #4
    Membre du Club
    Profil pro
    Inscrit en
    octobre 2008
    Messages
    101
    Détails du profil
    Informations personnelles :
    Âge : 31
    Localisation : France

    Informations forums :
    Inscription : octobre 2008
    Messages : 101
    Points : 52
    Points
    52
    Par défaut
    Aucune barrière n'est infranchissable c'est toujours une simple question de temps, temps qui souvent réduit si on a un accès physique à la machine.

    Ici pour fonctionner on doit avoir un accès physique à la machine, d'autant plus que si celle-ci a été verrouillée c'est qu'elle a probablement été volée et il faut 60h.

    Si on a peur une fois la machine volée on verrouille avec le mot de passe et si au bout d'environ 60h on ne l'as toujours pas retrouvé il faut lancé l'effacement à distance.

    Néanmoins ce programme peut être utile. C'est déjà vu des personnes qui suite à une rupture amoureuse qui c'est à priori mal passée le mec avait verrouillé via iCloud le Mac de son ex, celle-ci n'ayant plus d'autre possibilité que le formatage et l'éventuelle perte de données quand on a pas de sauvegarde.
    Ce programme pourrait permettre d'éviter la perte de données.

  5. #5
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    mai 2004
    Messages
    9 982
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : mai 2004
    Messages : 9 982
    Points : 27 485
    Points
    27 485
    Par défaut
    Citation Envoyé par spyserver Voir le message
    Ouai ok c'est juste de la force brute, le hack de base quoi ... Apple ne garde pas l'info coté serveur concernant le nbre d'essai, il est la le pb ... pas besoin d'aller plus loin ...
    Si si, il y a besoin d'aller plus loin. Apple a decide de "proteger" les comptes avec un simple code PIN a 4 chiffres, soit 1000 combinaisons au total... Niveau securite, c'est extremement faible -- la preuve, c'est qu'il faut 60 heures en brut-force !

    Ce qui est inquietant a mon sens, c'est qu'une entreprise qui fournisse un acces cloud decide d'offrir des acces avec des codes PIN a 4 chiffres, au lieu de chercher, et de fournir, des solutions securisees.
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

  6. #6
    Membre confirmé
    Homme Profil pro
    Inscrit en
    décembre 2011
    Messages
    257
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : décembre 2011
    Messages : 257
    Points : 502
    Points
    502
    Par défaut
    Je suis d'accord que le code PIN à 4 chiffres est plus que limite pour protéger un service de cloud, ceci étant, en restreignant l'authentification avec nombre d'essais maximum fixé (à 5 par ex) puis ré-activation après email + captcha comme bcp de services le propose, ça va déjà quand même bien limiter la casse ...

  7. #7
    Membre du Club
    Inscrit en
    mai 2010
    Messages
    23
    Détails du profil
    Informations forums :
    Inscription : mai 2010
    Messages : 23
    Points : 46
    Points
    46
    Par défaut IP + nombre d'essai
    Stocker & Exploiter l'IP et le nombre de tentative dans les X dernières heurs semble être un bon moyen de détecter ce type d'attaque, mais ils sont très nombreux les sites qui n'utilisent aucune sécurité de ce type par exemple je crois que pour facebook ce type d'attaque marche aussi (je dois avoir un script bruteforce.py qui traine dans ma virtual machine BackTrack )....

    Il n'y aura jamais de procédé sure à 100%.... puisque l'erreur est humaine !

  8. #8
    Membre du Club
    Inscrit en
    mai 2010
    Messages
    23
    Détails du profil
    Informations forums :
    Inscription : mai 2010
    Messages : 23
    Points : 46
    Points
    46
    Par défaut
    Citation Envoyé par gangsoleil Voir le message
    Si si, il y a besoin d'aller plus loin. Apple a decide de "proteger" les comptes avec un simple code PIN a 4 chiffres, soit 1000 combinaisons au total... Niveau securite, c'est extremement faible -- la preuve, c'est qu'il faut 60 heures en brut-force !

    Ce qui est inquietant a mon sens, c'est qu'une entreprise qui fournisse un acces cloud decide d'offrir des acces avec des codes PIN a 4 chiffres, au lieu de chercher, et de fournir, des solutions securisees.
    Ca c'est vrai, à l'heure ou beaucoup de service mettent en place l'authentification à 2 étapes, le code à 4 chiffres c'est effectivement très "light"!

  9. #9
    Expert éminent
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    août 2007
    Messages
    2 158
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : août 2007
    Messages : 2 158
    Points : 7 878
    Points
    7 878
    Par défaut
    Le plus ironique là-dedans c'est qu'il y a eu un sondage très récemment qui indiquait qu'Apple était l'une des entreprises les plus secure au monde !
    En même temps, c'est un sondage auprès des utilisateurs lambda très réceptifs au marketing, rien à voir avec des professionnels de l'IT.

    Un code PIN ? Quelle vaste blague !!
    C'était trop coûteux de faire un code alpha numérique sur 6 caractères mini ? ou encore de la double authentification ??

    Je sens que ça va donner lieu à pas mal de vannes sur la iSecurity by Apple

  10. #10
    Membre averti Avatar de steel-finger
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    janvier 2013
    Messages
    147
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : janvier 2013
    Messages : 147
    Points : 333
    Points
    333
    Par défaut
    Stocker & Exploiter l'IP et le nombre de tentative dans les X dernières heurs semble être un bon moyen de détecter ce type d'attaque, mais ils sont très nombreux les sites qui n'utilisent aucune sécurité de ce type par exemple je crois que pour facebook ce type d'attaque marche aussi (je dois avoir un script bruteforce.py qui traine dans ma virtual machine BackTrack )....

    Il n'y aura jamais de procédé sure à 100%.... puisque l'erreur est humaine !
    Facebook n'a pas ce type de login, les attaques par bruteforce sont détecté chez eu.

  11. #11
    Membre confirmé
    Homme Profil pro
    Inscrit en
    décembre 2011
    Messages
    257
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : décembre 2011
    Messages : 257
    Points : 502
    Points
    502
    Par défaut
    Oui et puis de toutes façons, quoiqu'on dise plus un système est exposé plus sa sécurité doit être élevé (quid des OS Unix qui n'ont jamais eu besoin d'antivirus car "unexposed"), forcément FB a du blinder sa forteresse pr ce genre d'attaque.

    Il sembe qu'Apple en revanche ait complètement sous-estimé ses utilisateurs, et oui il n'y a pas que des Apple-Addict il y a aussi des gens qui réfléchissent un peu au sujet et qui hack :-)

  12. #12
    Membre averti
    Profil pro
    Inscrit en
    octobre 2010
    Messages
    183
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : octobre 2010
    Messages : 183
    Points : 409
    Points
    409
    Par défaut
    Citation Envoyé par gangsoleil Voir le message
    Si si, il y a besoin d'aller plus loin. Apple a decide de "proteger" les comptes avec un simple code PIN a 4 chiffres, soit 1000 combinaisons au total... Niveau securite, c'est extremement faible -- la preuve, c'est qu'il faut 60 heures en brut-force !

    Ce qui est inquietant a mon sens, c'est qu'une entreprise qui fournisse un acces cloud decide d'offrir des acces avec des codes PIN a 4 chiffres, au lieu de chercher, et de fournir, des solutions securisees.
    C'est marrant mais apparemment, à part Tibimac, quasiment personne n'a compris de quoi il s'agit: ce n'est pas le compte iCloud qui est protégé par un pin, mais le macbook après que son propriétaire ai décidé de le bloquer à distance. Le nombre de tentatives n'est pas stockée sur un serveur puisque l'attaque se fait offline... Une fois le pin récupéré l'attaquant n'aura pas accès au compte iCloud mais uniquement au mac (à priori volé).

    Toutes les allusions à la double authentification ou à la sécurité de Facebook sont complètement hors sujet. Bref, le voleur à plus intérêt à reformater la machine plutôt que d'utiliser cet exploit moyen-ageu...

  13. #13
    Membre expérimenté
    Profil pro
    Inscrit en
    juillet 2005
    Messages
    661
    Détails du profil
    Informations personnelles :
    Localisation : Réunion

    Informations forums :
    Inscription : juillet 2005
    Messages : 661
    Points : 1 500
    Points
    1 500
    Par défaut
    Si si, il y a besoin d'aller plus loin. Apple a decide de "proteger" les comptes avec un simple code PIN a 4 chiffres, soit 1000 combinaisons au total... Niveau securite, c'est extremement faible -- la preuve, c'est qu'il faut 60 heures en brut-force !
    Sur 4 chiffres ca fait 9999 combinaisons, soit presque 10000...

  14. #14
    Membre éprouvé
    Inscrit en
    mars 2006
    Messages
    848
    Détails du profil
    Informations personnelles :
    Âge : 37

    Informations forums :
    Inscription : mars 2006
    Messages : 848
    Points : 1 079
    Points
    1 079
    Par défaut
    Quitte à être précis, autant l'être jusqu'au bout: ça fait 10000 possibilités, pourquoi en enlever une?

  15. #15
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    décembre 2011
    Messages
    9 014
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 9 014
    Points : 22 932
    Points
    22 932
    Par défaut
    Bonjour,

    Citation Envoyé par bombseb Voir le message
    Sur 4 chiffres ca fait 9999 combinaisons, soit presque 10000...
    Comment arrives-tu à 9999 ?
    Pour un chiffre, on a 10 possibilités (0,1,2,3,4,5,6,7,8 et 9).
    Pour quatre chiffre, on a donc 10*10*10*10 = 10^4 = 10000 possibilités.

    Après, un mot de passe de 6 caractères dont on ne connaît uniquement le hash md5 met environ 1 heure (et moins de 3$) à se faire craquer.
    Mais pour juger de la sécurité de ce système, il faut aussi voir comment le code PIN (ou son hash) est stocké (pour la vérification) et quelle est la procédure de demande du code PIN en détail.

  16. #16
    Nouveau membre du Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    mai 2009
    Messages
    21
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mai 2009
    Messages : 21
    Points : 26
    Points
    26
    Par défaut
    Well. Tout système est fiable jusqu'à ce qu'une personne lamda vienne le mettre à mal. C'est aussi comme l'informatique évolue la sécurité aussi, je pense qu'en voyant ceci Apple va très vitre corriger le problème ils n'ont pas pris en compte certaines choses, allez savoir pourquoi. Quand un système est fiable il ne l'est jamais trop longtemps. Il faudra toujours qu'une personne viennent mettre au clair du jour cette faille qui reste encore caché.

  17. #17
    Membre confirmé
    Homme Profil pro
    Inscrit en
    décembre 2011
    Messages
    257
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : décembre 2011
    Messages : 257
    Points : 502
    Points
    502
    Par défaut
    Le nombre de tentatives n'est pas stockée sur un serveur puisque l'attaque se fait offline
    On a parfaitement compris, on pointe justement du doigt qu'une telle procédure en "full offline" est devenue obsolète, c'est la où le bas blesse, au dela de 5 essai echoué, un mail est envoyé avec renouvellement du code PIN par exemple et impossibilité de se relogguer c'est pourtant simple, n'importe quel système actuel fonctionnant avec des codes PIN (CB,carte SIM,etc.) ont un nombre d'essai max, donc non nous ne sommes pas hors sujet. Ce hack est désuet et la procédure Apple aussi.

  18. #18
    Membre averti
    Profil pro
    Inscrit en
    octobre 2010
    Messages
    183
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : octobre 2010
    Messages : 183
    Points : 409
    Points
    409
    Par défaut
    Citation Envoyé par spyserver Voir le message
    On a parfaitement compris, on pointe justement du doigt qu'une telle procédure en "full offline" est devenue obsolète, c'est la où le bas blesse, au dela de 5 essai echoué, un mail est envoyé avec renouvellement du code PIN par exemple et impossibilité de se relogguer c'est pourtant simple, n'importe quel système actuel fonctionnant avec des codes PIN (CB,carte SIM,etc.) ont un nombre d'essai max, donc non nous ne sommes pas hors sujet. Ce hack est désuet et la procédure Apple aussi.
    Je ne te visais pas en particulier, mais d'autres commentaires laissent entendre que c'est iCloud qui est protégé par un pin à 4 chiffres alors que c'est le PC après que l'utilisateur l'ai bloqué via findMyMac disponible depuis iCloud. Le fait que le déblocage se fasse en full offline est plutôt logique puisqu'il s'agit de débloquer une machine physique pas un service online.

    Pour conclure je ne pense pas qu'un tel service de blocage à distance nécessite une haute sécurité de par sa nature. D'ailleurs la plupart des PCs tournant sous Windows ou Linux ne disposent pas d'un tel système en natif, cette démo de brutforce n'a pas grand intérêt par ailleurs puisqu'il est possible de contourner cette protection en déconnectant simplement le wifi avant que le pc soit bloqué...

  19. #19
    Membre expérimenté
    Profil pro
    Inscrit en
    juillet 2005
    Messages
    661
    Détails du profil
    Informations personnelles :
    Localisation : Réunion

    Informations forums :
    Inscription : juillet 2005
    Messages : 661
    Points : 1 500
    Points
    1 500
    Par défaut
    Quitte à être précis, autant l'être jusqu'au bout: ça fait 10000 possibilités, pourquoi en enlever une?
    Oui autant pour moi...

  20. #20
    Membre confirmé
    Homme Profil pro
    Inscrit en
    décembre 2011
    Messages
    257
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : décembre 2011
    Messages : 257
    Points : 502
    Points
    502
    Par défaut
    Oui tout à fait mais je me sentais obliger de répondre :-) aujourd'hui une machine est de plus en plus liée à un service online (il n'y a qu'a regarder les consoles qui nécessitent quasiment une connexion permanente pr fonctionner), pour la partie blocage à distance, certes une simple mise hors connexion suffit, mais la c'est davantage fonctionnel, au final c'est une "sureté" supplémentaire qui est proposée mais qui n'est pas garantie à 100% loin de la, la personne qui vole la machine en général étant au courant de ce genre de chose ... Mais dans le cas où la machine est bloquée, il y clairement une faille ds le système actuel selon moi.

Discussions similaires

  1. Réponses: 4
    Dernier message: 28/01/2013, 19h47
  2. Réponses: 15
    Dernier message: 24/02/2011, 05h54
  3. Afficher la ligne de code qui est tombée en erreur
    Par CAML dans le forum Framework .NET
    Réponses: 8
    Dernier message: 21/04/2007, 19h42
  4. Réponses: 6
    Dernier message: 11/05/2006, 17h28

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo