IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

L’application de sécurité NQ Vault pour iOS et Android serait fortement compromise


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Data Consultant
    Inscrit en
    Juillet 2013
    Messages
    2 874
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Data Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juillet 2013
    Messages : 2 874
    Points : 86 891
    Points
    86 891
    Billets dans le blog
    2
    Par défaut L’application de sécurité NQ Vault pour iOS et Android serait fortement compromise
    L’application de sécurité NQ Vault pour iOS et Android serait fortement compromise
    Un développeur a pu facilement briser la méthode de chiffrement

    La société NQ Mobile aurait surestimé les capacités de son application de sécurité NQ Vault, pour Android et iOS. Selon la description du produit, l’application de sécurité populaire est conçue comme une solution pour chiffrer les données privées sur les téléphones, comme des images, des vidéos et des messages. Ce qui est vérifiable, mais la méthode de chiffrement utilisée laisse beaucoup à désirer.

    Un développeur connu sous le pseudo de NinjaDoge24 a décidé de tester les prétentions de sécurité de NQ mobile Vault, et a constaté que la méthode de chiffrement utilisée pouvait être facilement brisée. L’application de chiffrement utilise en fait le chiffre XOR.

    Pour rappel, en cryptologie, un chiffre est une manière secrète d'écrire un message à transmettre, au moyen de caractères et de signes disposés selon une convention convenue au préalable. Plus précisément, il s’agit d’un ensemble de conventions et de symboles employés pour remplacer chaque lettre du message à rendre secret.

    Il existe deux grandes familles de chiffres à savoir les chiffres par transposition et les chiffres par substitution. Dans le premier cas, les lettres du message sont mélangées selon une convention secrète. Et dans le second cas, les lettres du message sont remplacées par des symboles déterminés.

    XOR fait partie des chiffres par substitution. Il permet de faire un chiffrement bit à bit qui utilise les propriétés mathématiques de la fonction OU exclusif. Concrètement, le message à chiffrer et la clé de chiffrement sont traduits en binaire et à partir des deux ensembles de valeurs générés, on applique l’opérateur XOR selon sa table de vérité pour générer le message chiffré en binaire. La table de vérité de l’opérateur XOR est donnée ci-après.


    L'inconvénient du chiffre XOR est qu'il est relativement facile à briser. Mais, même dans ce cas, il est utilisé dans des algorithmes de chiffrement complexes, en tant que chiffrement supplémentaire. Le problème avec la méthode de chiffrement de NQ Vault ne vient donc pas de l’utilisation de XOR, mais plutôt du fait que la méthode s’appuie seulement sur ce chiffre par substitution, qui tout seul est insuffisant pour créer un chiffrement sécurisé.

    La méthode de chiffrement de NQ Vault devient encore moins sûre dans la mesure où elle ne chiffre pas de surcroît l’intégralité du fichier. Le développeur a chiffré une image PNG en utilisant la version Android de l’application. En analysant le fichier résultant, il a remarqué que l'image n'a pas été chiffrée dans son intégralité, et il pouvait voir son nom. En effet, seuls les 128 premiers octets sont chiffrés.

    Le chiffrement des 128 premiers octets pourrait s’avérer plus fiable, mais il semble plus facile à briser dans le cas de fichiers de médias. Le développeur a également découvert que la clé associée à un mot de passe suivait un modèle facilement identifiable qui consiste en partie en une incrémentation simple. Autrement dit, pour deux mots de passe (des nombres entiers) consécutifs, les clés générées sont également des nombres consécutifs du même ordre de grandeur. Ce qui rend encore plus facile de déchiffrer les fichiers des utilisateurs.


    Source : NinjaDoge24

    Et vous ?

    Utilisez-vous NQ Vault ?

    Qu’en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre expérimenté Avatar de nchal
    Homme Profil pro
    Étudiant
    Inscrit en
    Avril 2012
    Messages
    512
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2012
    Messages : 512
    Points : 1 654
    Points
    1 654
    Par défaut HAHAHAHAHA!
    Complètement incroyable
    Les mecs vendent une application pour sécuriser ses données, le bousin fait un XOR sur les 128 premiers bits. Juste hallucinant...
    Et aller voir l'article de ninjadodge24, il ne manque pas d'humour
    Si la réponse vous convient, un petit ça encourage.
    Avant tout nouveau post, pensez à : la FAQ, Google et la fonction Recherche
    Si vous devez poster, pensez à: Ecrire en français, la balise [CODE] (#) et surtout

  3. #3
    Membre habitué
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juillet 2013
    Messages
    53
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juillet 2013
    Messages : 53
    Points : 168
    Points
    168
    Par défaut

    rah lala... comment ça parait trop pas possible.... comment c'est juste l'arnaque du siècle. Je sais pas qui a noté l'appli, mais franchement, j'espère qu'ils ont été bien payé, parce que là, la source de confiance, elle tombe d'un coup sec.

    (pour rappel, les notant sont : CTIA, PC Magazine, TRUSTe, Global Mobile Internet Conference App Space, pour ceux qui se fiaient à ceux-là, vous pouvez définitivement les oublier )

    et puis sérieux quoi, tant qu'à vouloir faire de la sécurité, on crypte le nom du fichier originale dans la base, et c'est le programme qui s'occupe de le décrypter pour le rechercher dans la base quand l'utilisateur le cherche.
    puis un XOR 128bits... sur 128 bits du fichier............... non mais on croit rêver.

    Heureusement qu'il y a des ptits curieux !

  4. #4
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    Heureusement que ça n'a pas été fait un 1er avril (l'article original date du 3), sinon on aurait pu passer outre. {'^_^}
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  5. #5
    Membre averti
    Avatar de Cyrilange
    Profil pro
    Inscrit en
    Février 2004
    Messages
    268
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2004
    Messages : 268
    Points : 337
    Points
    337
    Par défaut
    Par substitution !? Je rêve ! Qui utilise encore ça en prétendant que c'est sur ? Je faisais du codage par substitution quand j'avais 12 ans et je savais déjà comment le casser par simple analyse des fréquences. Ce ne serait pas une faiblesse volontaire ? Parce que franchement c'est trop nul pour être vrai !

  6. #6
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par Cyrilange Voir le message
    Ce ne serait pas une faiblesse volontaire ? Parce que franchement c'est trop nul pour être vrai !
    Une ? Il n'y en a pas qu'une si tu lis bien. Je suis sûr qu'"à 12 ans" tu faisais déjà mieux que ça d'ailleurs. {'^_^}
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

Discussions similaires

  1. Développement web app pour iOS et Android
    Par MMp4242 dans le forum Outils
    Réponses: 1
    Dernier message: 14/12/2014, 12h55
  2. Microsoft sortira Remote Desktop pour iOS et Android
    Par Cedric Chevalier dans le forum Windows
    Réponses: 1
    Dernier message: 21/10/2013, 14h36
  3. [WM18] Mise en place In-App Purchase pour IOS et Android
    Par nico78 dans le forum Windev Mobile
    Réponses: 0
    Dernier message: 18/07/2013, 23h30
  4. Réponses: 0
    Dernier message: 03/11/2011, 00h41
  5. Réponses: 5
    Dernier message: 27/06/2006, 16h03

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo