IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

iOS 10 : le nouveau système de protection des sauvegardes est 2 500 fois plus faible


Sujet :

Sécurité

  1. #1
    Expert éminent sénior
    Avatar de Coriolan
    Homme Profil pro
    Développeur informatique
    Inscrit en
    mai 2016
    Messages
    701
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Sarthe (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mai 2016
    Messages : 701
    Points : 51 792
    Points
    51 792
    Par défaut iOS 10 : le nouveau système de protection des sauvegardes est 2 500 fois plus faible
    iOS 10 : le nouveau système de protection des sauvegardes est 2 500 fois plus faible
    Il permet d’accélérer davantage les attaques par force brute

    Elcomsoft, une firme que crée et commercialise des logiciels de craquage de mots de passe, dit avoir découvert une faille de sécurité majeure dans le mécanisme de protection des sauvegardes dans iOS 10. Cette faille permet de contourner certains mécanismes de sécurité lors de l’énumération des mots de passe protégeant les sauvegardes locales d’iTunes créées par des appareils tournant sous iOS 10. Selon les chercheurs, cette vulnérabilité affecte durement la sécurité ; une implémentation de l’attaque exploitant la puissance du CPU (processeur) seulement affiche des résultats 40 fois plus importants comparée à une attaque complètement optimisée sur les sauvegardes iOS 9 et exploitant l'accélération graphique.

    Les chercheurs d’Elcomsoft ont découvert qu’Apple a ajouté dans iOS 10 une alternative au mécanisme de vérification des sauvegardes ; ce nouveau mécanisme omet certaines barrières de sécurité, ce qui permet d’essayer des mots de passe 2 500 fois plus vite comparé à l’ancien mécanisme utilisé dans iOS 9 et les versions antérieures de l’OS mobile. Cette nouvelle méthode de vérification de mots de passe existe en parallèle avec l’ancienne méthode, qui continue d’opérer de la même façon. L’équipe a pu exploiter ce nouveau mécanisme, même sans support GPU, elle est 40 fois plus rapide que l’ancienne méthode dotée de l’accélération graphique.

    Ce nouveau système de vérification est une faille de sécurité sérieuse, elle permet à un pirate de recourir à une attaque par force brute afin d’extraire le mot de passe d’une sauvegarde iTunes créé sur iOS 10. En passant par le nouveau système, l’attaquant peut accélérer considérablement le processus. Les chercheurs d’Elcomsoft ont été en mesure de tester 6 millions de mots de passe par seconde sur une sauvegarde d’iOS 10 en ne s’appuyant que sur la puissance du CPU. À titre de comparaison, ils ne pouvaient tester que 2400 mots de passe sur les sauvegardes d’iOS 9, soit 2 500 fois moins de tentatives.

    Les chercheurs espèrent implémenter l’accélération graphique afin de rendre encore plus rapide le processus sur iOS 10. Sur iOS 9, l’attaque avec le support du GPU a permis d’atteindre 150000 tentatives par seconde. Si le même facteur d’amplification est gardé, peut être que cette méthode va permettre d’atteindre 375 millions de mots de passe par seconde pour les sauvegardes d’iOS 10.

    Les appareils tournant sous iOS sont sécurisés, afin de compromettre leur sécurité, la seule voie qui existe est d’avoir accès au keychain, qui est protégé et crypté avec une clé bien enfouie et isolée. En recourant à l'extraction des mots de passe des sauvegardes iTunes, l’attaquant peut alors accéder aux clés de décryptage pour le keychain qui contient des informations sensibles comme les identifiants et mots de passe, les coordonnées bancaires, l’information sur les réseaux Wifi et toute autre donnée tierce qui nécessite d’être protégée.

    En combinant cette nouvelle méthode avec les dictionnaires de différents mots de passe les plus utilisés, l’attaque par force brute peut être accélérée davantage. « Les chiffres indiquent que 10 000 mots de passe sont utilisés dans environ 30 % des cas, alors que la liste du top 10 millions de mots de passe affiche approximativement un succès de 34 % dans des cas réels. »


    Source : Elcomsoft

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Forum Sécurité
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre averti
    Homme Profil pro
    Lycéen
    Inscrit en
    décembre 2014
    Messages
    106
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Lycéen

    Informations forums :
    Inscription : décembre 2014
    Messages : 106
    Points : 322
    Points
    322
    Par défaut
    Le FBI approuve !

  3. #3
    Membre expérimenté Avatar de SkyZoThreaD
    Homme Profil pro
    Technicien maintenance
    Inscrit en
    juillet 2013
    Messages
    583
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : juillet 2013
    Messages : 583
    Points : 1 609
    Points
    1 609
    Par défaut
    Citation Envoyé par derderder Voir le message
    Le FBI approuve !
    La liberté est à la sociologie ce que l'instant présent est à la physique relativiste.

  4. #4
    Expert éminent
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    août 2007
    Messages
    2 158
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : août 2007
    Messages : 2 158
    Points : 7 878
    Points
    7 878
    Par défaut
    entre l'autonomie de la batterie et la sécurité, il faut choisir
    Apple a fait son choix
    Après tout, d'un point de vu marketing, ça se tient.

  5. #5
    Expert confirmé
    Avatar de berceker united
    Profil pro
    SQL
    Inscrit en
    février 2005
    Messages
    3 430
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : SQL
    Secteur : Finance

    Informations forums :
    Inscription : février 2005
    Messages : 3 430
    Points : 5 771
    Points
    5 771
    Par défaut
    Ils se sont venté d'être très rapide car optimisé. C'est vrai, nous en avons la preuve maintenant et ça semble de marcher .
    Par contre, qu'en est-il du coté d'Androïde. Pas la peine de se moquer de celui qui a le choléra si on a déjà la peste.
    Mon avatar ? Ce n'est rien, c'est juste la tête que je fais lorsque je vois un code complètement frappa dingue !...

Discussions similaires

  1. La protection des jeux est-elle devenue incassable ?
    Par LittleWhite dans le forum Développement 2D, 3D et Jeux
    Réponses: 27
    Dernier message: 23/02/2016, 14h19
  2. Des disques durs 100 fois plus rapides bientôt disponibles ?
    Par Hinault Romaric dans le forum Actualités
    Réponses: 25
    Dernier message: 16/02/2012, 11h29
  3. [SQL SERVER 2005] Protection des sauvegardes par mot de passe
    Par Tsunamy dans le forum Administration
    Réponses: 13
    Dernier message: 20/05/2010, 15h17
  4. Désactiver la protection des fichiers systéme
    Par cartonis dans le forum Sécurité
    Réponses: 6
    Dernier message: 13/08/2005, 19h17

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo