IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Développement iOS Discussion :

Des chercheurs trouvent un moyen de déchiffrer les photos et vidéos envoyées sur iMessage


Sujet :

Développement iOS

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 545
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 545
    Points : 155 615
    Points
    155 615
    Par défaut Des chercheurs trouvent un moyen de déchiffrer les photos et vidéos envoyées sur iMessage
    Des chercheurs trouvent un moyen de déchiffrer les photos et vidéos envoyées sur iMessage
    l'outil sécurisé de discussion instantanée d'Apple sur iOS et OS X

    Un groupe de chercheurs de l’université Johns Hopkins a trouvé une faille dans son client de messagerie instantanée iMessage. Une fois exploitée, elle permet à un pirate de déchiffrer des photos et vidéos envoyées comme messages instantanés sécurisés.

    Pour intercepter les fichiers, les chercheurs ont écrit un logiciel qui a imité un serveur Apple sur une ancienne version d’iOS. La transmission chiffrée qu’ils visaient contenait un lien vers une photo sauvegardée dans un serveur iCloud d’Apple ainsi qu’une clé numérique de 64 bits pour déchiffrer la photo.

    Bien que les chercheurs n’étaient pas en mesure de voir les entrées composant la clé, ils les ont devinées par un processus répétitif qui consistait à changer une lettre ou un chiffre dans la clé et à la renvoyer vers le téléphone visé. À chaque fois qu’ils ont deviné correctement un chiffre, le téléphone l’a accepté. Ils ont réussi à tromper le téléphone de cette manière des milliers de fois « et nous n’avons pas arrêté de le faire avant d’obtenir la clé », a expliqué Matthew D. Green, un professeur de sciences informatiques de cette université qui a dirigé la recherche. Il a précisé qu’une version modifiée de cette attaque pourrait également fonctionner sur des versions plus récentes du système d’exploitation iOS.

    « Apple travaille dur pour rendre nos logiciels plus sûrs à chaque publication. Nous apprécions le travail de l'équipe de recherche qui a identifié ce bogue et a attiré notre attention afin que nous puissions le corriger », a indiqué Apple dans un communiqué. L'entreprise a dit avoir fourni un correctif partiel pour iOS 9, mais elle est d’ores et déjà colmatée sur iOS 9.3 qui est disponible depuis quelques heures pour les iPhone à partir du modèle 4S, les iPad à partir de l’iPad 2 et les iPod Touch sur la 5e et 6e génération.

    « Même Apple, avec toutes ses compétences - et ils ont des spécialistes en cryptographie vraiment bons - n’a pas été en mesure de le faire assez bien », a déclaré Green au Washington Post. « Aussi, cela me fait peur que nous puissions discuter de l'ajout de portes dérobées au chiffrement alors que nous ne parvenons déjà pas à faire correctement du chiffrement de base ».

    Christopher Soghoian, technologue principal à l’American Civil Liberties Union, a estimé que l’attaque de Green met en lumière les dangers liés au fait qu’une entreprise développe son propre chiffrement sans audit indépendant : « les livres d’histoire de la cryptographie sont remplis d’exemples d’algorithmes de chiffrement développés à huis clos qui se sont ramassés de façon spectaculaire ». Selon lui, la meilleure approche reste une conception ouverte. Il a cité en guise d’illustration les protocoles de chiffrement développés par les chercheurs d’Open Whisper Systems qui ont apporté Signal, une plateforme de messagerie instantanée. Ils ont publié leur code, mais les clés, qui sont générées par le destinataire et le bénéficiaire, demeurent secrètes.

    Quoi qu’il en soit, pour Green, des technologues comme ceux qui sont à la NSA auraient pu facilement trouver la même faille : « si vous y investissez des ressources, vous trouverez sans doute quelque chose comme ça ». D’ailleurs, il estime que les forces de l’ordre auraient pu s’en servir pour obtenir des médias envoyés via iMessage dans des enquêtes criminelles. À ce propos, l’année dernière, Apple et le gouvernement se sont battus durant de longs mois à Baltimore parce que le gouvernement voulait obliger Apple à trouver un moyen d’obtenir les données de communication en texte clair, ce à quoi l’entreprise s’est opposée, prétextant que ce serait incroyablement coûteux et mettrait en danger la sécurité. Apple avait même dit ne pas avoir les capacités techniques pour fournir en temps réel le contenu chiffré iMessage.

    Si cette découverte spécifique n’avait probablement pas pu aider les agents du FBI à récupérer les données du iPhone en leur possession dans l’affaire de l’attentat de San Bernardino (dans le cas du FBI il s’agit de récupérer les données du iPhone tandis qu’ici il s’agit d’intercepter les données transitant entre les dispositifs), elle vient néanmoins mettre de l’ombre sur le mythe qui voudrait que le chiffrement fort n’a laissé aucune ouverture aux forces de l’ordre ainsi qu’aux pirates, a avancé Green.

    Source : Washington Post

    Voir aussi :

    Apple devra faire face à la justice américaine à cause du problème engendré par iMessage lors de la migration vers une autre plateforme

    Tim Cook : « vous n'êtes pas notre produit », Apple ne lit jamais vos mails et vos iMessages, selon son PDG

    iMessage : Apple pourrait lire vos messages, le chiffrement de son application mis en cause par deux chercheurs
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert confirmé

    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    juillet 2009
    Messages
    1 030
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2009
    Messages : 1 030
    Points : 4 121
    Points
    4 121
    Par défaut
    Voila comment ça devrait fonctionner. Les services secrets doivent découvrir les failles et les garder pour eux. Plutôt qu'une volontaire faille de sécurité, bien en vue.

  3. #3
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    3 147
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 3 147
    Points : 9 347
    Points
    9 347
    Par défaut
    Bon que la clé soit numérique au lieu d'alphanumérique passons.
    Mais 64bits ? Seulement ?

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  4. #4
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 476
    Points : 4 746
    Points
    4 746
    Billets dans le blog
    6
    Par défaut
    même pour les certificats SSL les clés sont minimum du 128 bits et maintenant le standard c'est le 256
    Rien, je n'ai plus rien de pertinent à ajouter

  5. #5
    Provisoirement toléré
    Homme Profil pro
    Architecte réseau
    Inscrit en
    mars 2016
    Messages
    114
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mars 2016
    Messages : 114
    Points : 0
    Points
    0
    Par défaut
    Citation Envoyé par TiranusKBX Voir le message
    même pour les certificats SSL les clés sont minimum du 128 bits et maintenant le standard c'est le 256
    N'importe quoi.

    Ce que tu dis n'a aucun sens. Un certificat SSL/TLS n'a pas de clef de 128 ou 256 bits.

    Je ne sais pas où tu as été pêcher ça.

  6. #6
    Provisoirement toléré
    Homme Profil pro
    Architecte réseau
    Inscrit en
    mars 2016
    Messages
    114
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mars 2016
    Messages : 114
    Points : 0
    Points
    0
    Par défaut
    Citation Envoyé par transgohan Voir le message
    Bon que la clé soit numérique au lieu d'alphanumérique passons.
    Mais 64bits ? Seulement ?
    Tu peux m'expliquer la différence entre une clef numérique et alphanumérique? :o

  7. #7
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    3 147
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 3 147
    Points : 9 347
    Points
    9 347
    Par défaut
    Citation Envoyé par secuexpert Voir le message
    Tu peux m'expliquer la différence entre une clef numérique et alphanumérique? :o
    C'est un troll ? Rassurez moi...

    Allez je vais tout de même jouer le jeu...
    Numérique => (x € [0,9])*
    Alphanumérique => (x € [0,9]n[a,z])* (je vous fais gré des majuscules pour ne pas vous embrouiller)

    Prenons maintenant une clé de 10 caractères et un cas de brute force pour la trouver :
    Numérique : 10*10^3 possibilités
    Alphanumérique : environ 3*10^5 possibilités

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  8. #8
    Provisoirement toléré
    Homme Profil pro
    Architecte réseau
    Inscrit en
    mars 2016
    Messages
    114
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mars 2016
    Messages : 114
    Points : 0
    Points
    0
    Par défaut
    Citation Envoyé par transgohan Voir le message
    C'est un troll ? Rassurez moi...
    Non, c'est une vraie question.

  9. #9
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    3 147
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 3 147
    Points : 9 347
    Points
    9 347
    Par défaut
    Citation Envoyé par secuexpert Voir le message
    Non, c'est une vraie question.
    On pourrait en douter vu que vous vous désignez comme un expert en sécurité dans tous vos messages...
    La sécurité du chiffrement c'est la première chose qu'on apprend à l'école...

    Comme on dit, on en apprend tous les jours et c'est bien mieux ainsi.

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

Discussions similaires

  1. Des chercheurs trouvent une faille dans l’algorithme RSA
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 12
    Dernier message: 09/12/2016, 10h32
  2. Réponses: 2
    Dernier message: 01/12/2011, 12h22
  3. Réponses: 0
    Dernier message: 30/11/2011, 20h02
  4. Réponses: 3
    Dernier message: 28/05/2010, 10h58
  5. Réponses: 6
    Dernier message: 04/01/2010, 16h19

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo