IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Développement iOS Discussion :

Apple voudrait empêcher que les développeurs puissent à nouveau partager des informations sur vos contacts


Sujet :

Développement iOS

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 359
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 359
    Points : 195 969
    Points
    195 969
    Par défaut Apple voudrait empêcher que les développeurs puissent à nouveau partager des informations sur vos contacts
    Apple voudrait empêcher que les développeurs puissent à nouveau collecter et partager des informations sur vos contacts,
    en modifiant les règles de l'App Store

    Avec une modification des règles pour l’utilisation de sa vitrine de téléchargement, Apple a corrigé une faille peu connue dans App Store qui permettait aux développeurs de récolter des données sur les contacts des utilisateurs iOS, limitant ainsi l'accès de tiers aux sources d'informations personnelles potentiellement non protégées. Les mesures de protection de la vie privée, précédemment annoncées par Apple, s'appliquaient aux propres données de l'utilisateur, mais pas à celles de ses contacts, créant un trésor d'informations pouvant être utilisées individuellement ou via la composition de plusieurs utilisateurs ayant des contacts en commun.

    Comme l’a expliqué Bloomberg dans un rapport, les développeurs d'applications iOS ont été autorisés à demander l'autorisation d'un utilisateur pour accéder au carnet d'adresses ou aux données de contact, ce qui a permis d'agréger plusieurs types d'informations sur les amis, la famille et les associés (noms, numéros de téléphone, adresses e-mail, photos de profil, dates de naissance, adresses de domicile et de travail et informations sur la date de création du contact). Ces informations pourraient être transférées pratiquement n'importe où dès qu'un utilisateur donne son autorisation, sans qu'aucun suivi ni aucune autre information ne soit envoyée à Apple.

    « Cette décision [de modifier les règles de l’App Store] vient mettre fin à une pratique qui a été utilisée pendant des années. Les développeurs demandent aux utilisateurs d'accéder à leurs contacts téléphoniques, puis les utilisent pour le marketing et parfois partagent ou vendent les informations, sans l'autorisation des autres personnes figurant dans ces carnets d'adresses numériques. À la fois sur iOS d'Apple et sur Android de Google, les plus grands systèmes d'exploitation de smartphones au monde, cette tactique est parfois utilisée pour générer de la valeur et des revenus », a regretté Bloomberg.

    Ici, le problème est que, contrairement à l'utilisateur de l'application qui a la possibilité de choisir si ses informations sont partagées, le contact n'est jamais consulté pour une autorisation quelconque, d’ailleurs il ne lui est pas donné la possibilité de supprimer ce partage de ses informations.

    Nom : iphone_rgpd.png
Affichages : 2482
Taille : 369,2 Ko

    Les développeurs peuvent par exemple décider de vendre ces informations aux courtiers de données et tirer parti de la connaissance de vos contacts pour vous faire de la publicité avec des mentions d'amis et de membres de la famille, à l’instar de la fonction « vos amis aiment déjà cette page ». Certains développeurs ont envoyé des messages aux contacts des leurs utilisateurs afin de les aider à créer des bases d'utilisateurs pour leurs services.

    Le changement apporté par Apple empêche les utilisateurs de contacter des personnes en utilisant des informations collectées par contact ou par photo, « sauf à l'initiative explicite de cet utilisateur sur une base individuelle ». Les développeurs sont également tenus de fournir une description claire de la manière dont le message de contact apparaîtra au bénéficiaire. Les règles interdisent également aux développeurs de créer, de partager ou de vendre des bases de données d'informations de contact partagées, ainsi que d'utiliser les informations à des fins non divulguées auparavant.

    Mais il n'y a aucun moyen de revenir en arrière et de bloquer ou de récupérer les données précédemment partagées. Vous pouvez déconnecter le conduit, tout en gardant à l’esprit que ce qui a été donné aux développeurs est déjà disponible. En effet, après avoir donné la permission à un développeur, un utilisateur d'iPhone peut aller dans ses paramètres et désactiver les autorisations de contacts des applications. Si cela déconnecte le flux de données qui peut être envoyé aux développeurs, cela ne renvoie pas les informations déjà recueillies.

    Le Google App Store fonctionne de la même manière. Sur la page d'aide de l'entreprise concernant les autorisations d'application, sous « Important », il est indiqué « Si vous supprimez les autorisations pour une application, cette action ne supprimera pas les informations dont dispose déjà l'application. Cependant, l'application ne peut pas utiliser de nouvelles informations ou prendre des mesures à partir de ce point ».

    La différence est que Google reste généralement silencieux sur la façon dont il se sert des données des utilisateurs à des fins publicitaires, tandis que Apple affirme souvent ne pas collecter des informations sur les utilisateurs et encore moins établir des profils utilisateurs. Le fabricant d'iPhone a également déployé des contrôles de confidentialité supplémentaires pour se conformer au RGPD.

    « Le partage de données d'amis sans leur consentement est ce qui a mis Facebook Inc dans la tourmente lorsqu’un développeur externe a donné des informations sur des millions de personnes à Cambridge Analytica, le cabinet de conseil politique. Apple a critiqué le réseau social pour cette erreur et d'autres faux pas, tout en annonçant de nouvelles mises à jour de confidentialité pour renforcer sa réputation de protection des données de l'utilisateur. Cependant, le fabricant d'iPhone n'a pas attiré autant d'attention sur le récent changement de ses règles App Store », souligne Bloomberg.

    Sources : Bloomberg, Apple

    Et vous ?

    Que pensez-vous de cette mesure ?
    Vous semble-t-elle suffisante ou doit-elle être accompagnée d'une mesure technique ?

    Voir aussi :

    Un mauvais usage de l'API de vérification du code signé avec l'outil d'Apple pourrait rendre du code malicieux indétectable sur macOS, selon Pitts
    WWDC 2018 : Apple lance WatchOS 5, le nouvel OS de sa smartwatch qui intègre le mode Walkie Talkie, les podcasts, la détection de work-out
    Apple tacle Facebook en présentant de nouvelles mesures anti-traçage dans Safari, bientôt la fin du pistage des internautes ?
    Fonctionnalités clés liées aux développeurs introduites dans macOS 10.14 : Apple note la dépréciation d'OpenGL et OpenCL
    WWDC 2018 : Apple dévoile Mojave, le nouveau macOS 10.14 qui succèdera à High Sierra et introduit le support des applications iOS sur Mac
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Invité
    Invité(e)
    Par défaut Euhhh
    Alors, si j’ai bien compris... Apple ne se souciait de rien pendant des années et là il s’en inquiète
    Mais les informations déjà vendues que vont-elles devenir
    Est-ce qu’Apple va demander à ce que les données collectées soient supprimées
    Est-ce que
    Est-ce que
    Est-ce que
    Beaucoup de questions, mais auront-elles des réponses

  3. #3
    Membre averti
    Inscrit en
    Février 2006
    Messages
    707
    Détails du profil
    Informations forums :
    Inscription : Février 2006
    Messages : 707
    Points : 366
    Points
    366
    Par défaut
    Bonjour,

    C’est bien de le reconnaître mais c’est pas suffisant . Je souhaite pour ma part que tout soit réparé . Et que toutes les données revendu soit retracer et tout effacer . Ils avaient pas le droit de le faire il se vanter de ne jamais faire ce genre de choses . C’est vraiment ce qu’on dalle .

    Et vous que souhaitez-vous ?

    Meilleures salutations
    Battant

  4. #4
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 359
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 359
    Points : 195 969
    Points
    195 969
    Par défaut Apple annonce qu'il va améliorer le chiffrement des données sur iPhone au grand regret des forces de l'ordre
    Apple annonce qu'il va améliorer le chiffrement des données sur iPhone,
    une mesure qui est loin de plaire aux forces de l'ordre qui le traitent de complice des criminels

    Apple a longtemps vanté son iPhone comme étant un dispositif suffisamment sécurisé pour que seul son propriétaire soit à mesure de le déverrouiller. Une vision un peu édulcorée de la réalité qui a quand même tenu l’éditeur d’iOS loin de toutes formes de bug bounty avant son bras de fer avec les forces de l’ordre.

    Pour rappel, ces dernières souhaitaient qu’Apple installe un mécanisme qui permette de contourner sa propre sécurité. Apple ayant refusé de le faire, mettant en avant le fait que cela pourrait nuire à la sécurité de ses dispositifs de par le monde, le FBI a fait appel à une entité tierce qui a profité d’une vulnérabilité pour parvenir à son but. Depuis, Apple a décidé de lancer à son tour un Bug Bounty, au même titre que les autres enseignes technologiques.

    Pour se positionner à nouveau comme le champion de la sécurité, Apple a annoncé mercredi qu'il allait améliorer le chiffrement des données sur ses iPhone afin de mieux contrer des pirates informatiques ou des policiers trop zélés. Ces nouvelles mesures arrivent à un moment où un nouvel outil appelé GrayKey, que l'on dit capable de déverrouiller les iPhone, commence à se faire une réputation dans les milieux technologiques.

    « Nous mettons le client au centre de tout », a expliqué Apple dans un communiqué mercredi. « Nous renforçons sans relâche nos protections de sécurité dans chaque produit Apple pour aider nos clients à se défendre contre les hackeurs »

    Le constructeur a confirmé à Reuters la présence d'une fonction qui interdit à un appareil branché sur le port Lightning de l'iPhone ou de l'iPad d'accéder à son contenu si l'utilisateur ne s'est pas identifié dans la dernière heure.

    L'option, qui est apparue dans la première bêta d'iOS 11.4.1 et elle est aussi présente dans la préversion d'iOS 12, se trouve dans les réglages Face ID et code, en bas du panneau. En la désactivant, on empêche effectivement la connexion d'accessoires USB si l'iPhone est verrouillé depuis plus d'une heure. Pour Apple, cette fonction permet de couper l'herbe sous le pied aux forces de police et aux agences à acronymes de fouiller dans les données d'un terminal avec l'aide d'un boîtier GrayKey par exemple.

    Nom : apple_1.png
Affichages : 3981
Taille : 151,5 Ko
    Le boîtier GrayKey qui permet de « casser » les protections de deux appareils iOS à la fois.

    Vous voulez déverrouiller un iPhone ? Par là cela ne sera plus possible

    Une décision qui semble mettre les forces de l’ordre en colère et qui pourrait bien relancer la question sur le fait de savoir si le gouvernement a le droit d’entrer dans les dispositifs personnels de la vie moderne est désormais relancée.

    Avec cette fonction, pour transférer des données depuis ou vers l'iPhone via le port, une personne devra alors entrer le mot de passe du téléphone si celui-ci a été verrouillé depuis plus d’une heure. Un tel changement va gêner les forces de l’ordre, qui ont généralement déverrouillé des iPhones en connectant un autre appareil exécutant un logiciel spécial sur le port, souvent des jours ou même des mois après le dernier déverrouillage du smartphone. Les nouvelles de la mise à jour programmée d'Apple ont commencé à se propager à travers les blogs de sécurité, ce qui a eu pour résultat de mettre en colère de nombreuses agences d'investigation.

    « Si nous revenons à la situation où nous n'avons plus d’accès, alors nous aurons perdu tellement de preuves et il y aura tellement d’enfants que nous ne pourrons plus mettre dans une position de sécurité », a déclaré Chuck Cohen, qui dirige un groupe de travail de la police de l'État de l'Indiana sur les crimes sur Internet contre les enfants. La police de l'État de l'Indiana a déclaré avoir débloqué 96 iPhones pour divers cas cette année, chaque fois avec un mandat, en utilisant un appareil de 15 000 $ qu'elle a acheté en mars auprès d'une compagnie appelée Grayshift.

    Une décision qui ne fait pas l’unanimité

    Cependant, pour les défenseurs de la vie privée, Apple a raison de corriger cette faille de sécurité qui est devenue plus facile et moins coûteuse à exploiter : « C'est une très grande vulnérabilité dans les téléphones d'Apple », a déclaré Matthew D. Green, professeur de cryptographie à l'Université Johns Hopkins. Selon lui, un dispositif de Grayshift sur un bureau dans un poste de police pourrait très facilement se retrouver dans d’autres mains.

    Dans un courriel adressé au New York Times, un porte-parole d'Apple, Fred Sainz, a déclaré que l'entreprise renforçait constamment les protections de sécurité et corrigeait toute vulnérabilité détectée dans ses téléphones, en partie parce que les criminels pouvaient également exploiter les mêmes failles. « Nous avons le plus grand respect pour les forces de l’ordre, et nous ne concevons pas nos améliorations de la sécurité pour réduire à néant leurs efforts dans l’amélioration de leur travail ».

    Apple et Google, qui développent les logiciels utilisés dans presque tous les smartphones du monde, ont commencé à chiffrer leurs systèmes d’exploitation mobile en 2014. L’objectif est de brouiller les données pour les rendre illisibles, à moins de disposer d’une clé spéciale (qui peut être un mot de passe). Une stratégie qui n’a pas enchanté les forces de l’ordre.

    Nom : apple_2.png
Affichages : 3293
Taille : 68,2 Ko

    Rappelons d’ailleurs que plusieurs élus de par le monde veulent se battre contre le chiffrement, mettant en avant la dimension sécurité nationale. L’argument est souvent le même : « puisque les terroristes utilisent WhatsApp pour communiquer, alors WhatsApp doit nous permettre de lire les conversations ». Les demandes quant à elles peuvent varier. Certains veulent des portes dérobées, d’autres une utilisation de mécanisme de chiffrement moins efficace.

    Une stratégie qui n’est pas nouvelle chez Apple

    Il faut préciser que ce n’est pas la première fois qu’Apple ferme des failles dans la sécurité de ses dispositifs. Pendant des années, la police pouvait utiliser la force brute en se servant d’un logiciel qui allait tester toutes les combinaisons possibles de mots de passe jusqu’à ce que le téléphone soit déverrouillé. Apple a décidé alors d’y mettre fin en désactivant les iPhones après un nombre limité de saisis de mauvais mots de passe. Cependant, selon Green, les logiciels Grayshift et Cellebrite semblent pouvoir désactiver cette technologie Apple, permettant à leurs appareils de tester des milliers de codes d'accès.

    Les organismes d'application de la loi qui ont acheté un dispositif GrayKey comprennent la Drug Enforcement Administration, qui a acheté un modèle avancé cette année pour 30 000 $, selon les dossiers publics. La police d'État du Maryland en a un, tout comme les services de police de Portland, en Oregon, et de Rochester, au Minnesota, selon les registres.

    Nom : apple_3.png
Affichages : 3381
Taille : 48,5 Ko

    Apple, défenseur des criminels ? Oui, pour un procureur

    Hillar Moore, procureur de Baton Rouge (capitale de la Louisiane), a déclaré que son bureau avait versé à Cellebrite des milliers de dollars pour débloquer des iPhones dans cinq affaires depuis 2017, notamment une enquête sur la mort d'un engagement de fraternité à la Louisiana State University. Il a dit que les téléphones avaient fourni des informations cruciales, et il était contrarié qu'Apple ait prévu de fermer une telle avenue d'investigation utile.

    « Ils protègent de manière flagrante les activités criminelles, et seulement sous le couvert de la vie privée pour leurs clients », a-t-il estimé.

    Michael Sachs, un procureur de district adjoint à Manhattan, a déclaré que son bureau utilise des solutions de contournement (il a refusé de préciser lequel) pour accéder à des iPhones verrouillés plusieurs fois par semaine. Cela a permis de résoudre une série de cas ces derniers mois, notamment en se connectant à un iPhone pour trouver des vidéos d'un suspect qui agressait sexuellement un enfant. L'homme en question a été condamné cette année.

    Nom : apple_4.jpg
Affichages : 3342
Taille : 9,2 Ko

    Le jeu du chat et de la souris

    Au cours des dix premiers mois de 2017, le bureau du procureur de Manhattan a déclaré avoir récupéré et obtenu des mandats ou avoir consenti à fouiller 702 smartphones verrouillés, dont les deux tiers étaient des iPhones. Les smartphones exécutant le logiciel Android de Google sont généralement plus faciles d'accès, en partie parce que de nombreux appareils plus anciens ne sont pas chiffrés.

    Le chiffrement sur les smartphones s'applique uniquement aux données stockées uniquement sur le téléphone. Des entreprises comme Apple et Google donnent régulièrement aux responsables de l'application de la loi l'accès aux données que les consommateurs sauvegardent sur leurs serveurs, par exemple via le service iCloud d'Apple. Apple a déclaré que depuis 2013, il a répondu à plus de 55 000 demandes du gouvernement des États-Unis à la recherche d'informations sur plus de 208 000 appareils, comptes ou identifiants financiers.

    Selon Michelle Richardson, analyste au Centre pour la démocratie et la technologie, qui soutient les protections de la vie privée en ligne, la dernière initiative d'Apple fait partie d'un jeu de chat et de souris entre les entreprises technologiques et les forces de l'ordre.

    « Les gens s'attendaient toujours à ce qu'il y ait un va-et-vient. Notamment que le gouvernement puisse hacker ces appareils, puis qu'Apple décide de boucher la faille et que les hackers trouvent une autre solution », a-t-elle déclaré.

    Sources : Reuters, New York Times

    Et vous ?

    Que pensez-vous de cette décision d'Apple ?

    Voir aussi :

    Un mauvais usage de l'API de vérification du code signé avec l'outil d'Apple pourrait rendre du code malicieux indétectable sur macOS, selon Pitts
    WWDC 2018 : Apple lance WatchOS 5, le nouvel OS de sa smartwatch qui intègre le mode Walkie Talkie, les podcasts, la détection de work-out
    Apple tacle Facebook en présentant de nouvelles mesures anti-traçage dans Safari, bientôt la fin du pistage des internautes ?
    Fonctionnalités clés liées aux développeurs introduites dans macOS 10.14 : Apple note la dépréciation d'OpenGL et OpenCL
    WWDC 2018 : Apple dévoile Mojave, le nouveau macOS 10.14 qui succèdera à High Sierra et introduit le support des applications iOS sur Mac
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  5. #5
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 359
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 359
    Points : 195 969
    Points
    195 969
    Par défaut Grayshift aurait trouvé un moyen de contourner la nouvelle fonctionnalité de sécurité sur iPhone
    Des experts suggèrent que Grayshift aurait trouvé un moyen de contourner la nouvelle fonctionnalité de sécurité sur iPhone
    coup de bluff ou réalité ?

    Pour se positionner à nouveau comme le champion de la sécurité, Apple a annoncé mercredi qu'il allait améliorer le chiffrement des données sur ses iPhone afin de mieux contrer des pirates informatiques ou des policiers trop zélés. Ces nouvelles mesures arrivent à un moment où un nouvel outil appelé GrayKey, que l'on dit capable de déverrouiller les iPhone, commence à se faire une réputation dans les milieux technologiques.

    « Nous mettons le client au centre de tout », a expliqué Apple dans un communiqué mercredi. « Nous renforçons sans relâche nos protections de sécurité dans chaque produit Apple pour aider nos clients à se défendre contre les hackeurs »

    Le constructeur a confirmé à Reuters la présence d'une fonction qui interdit à un appareil branché sur le port Lightning de l'iPhone ou de l'iPad d'accéder à son contenu si l'utilisateur ne s'est pas identifié dans la dernière heure.

    Bien entendu, la fonctionnalité n’a pas été applaudie par les forces de l’ordre, car l’accès aux téléphones mobiles allait devenir plus difficile. « Si nous revenons à la situation où nous n'avons plus d’accès, alors nous aurons perdu l’accès à tellement de preuves et il y aura tellement d’enfants que nous ne pourrons plus mettre dans une position de sécurité », a déclaré Chuck Cohen, qui dirige un groupe de travail de la police de l'État de l'Indiana sur les crimes sur Internet contre les enfants. La police de l'État de l'Indiana a déclaré avoir débloqué 96 iPhones pour divers cas cette année, chaque fois avec un mandat, en utilisant un appareil de 15 000 $ qu'elle a acheté en mars auprès d'une compagnie appelée Grayshift.

    Hillar Moore, procureur de Baton Rouge (capitale de la Louisiane), a déclaré que son bureau avait versé à Cellebrite des milliers de dollars pour débloquer des iPhones dans cinq affaires depuis 2017, notamment une enquête sur la mort d'un engagement de fraternité à la Louisiana State University. Il a dit que les téléphones avaient fourni des informations cruciales, et il était contrarié qu'Apple ait prévu de fermer une telle avenue d'investigation utile.

    « Ils protègent de manière flagrante les activités criminelles, et seulement sous le couvert de la vie privée pour leurs clients », a-t-il estimé.

    Nom : apple_3.png
Affichages : 2818
Taille : 48,5 Ko

    Le jeu est loin d’être terminé.

    Des experts en cybersécurité ont suggéré que Grayshift, la société derrière la technologie utilisée par les forces de l’ordre, n'a pas dit son dernier mot.

    « Grayshift s'est donné beaucoup de mal pour tester sa technologie à venir et a déclaré être déjà venu à bout de cette fonctionnalité de sécurité dans la version bêta. En outre, GrayKey a d’autres capacités qui seront exploitées au fil du temps », a déclaré un expert en sécurité même si MB, qui a transmis le message, ne sait pas si cela est vrai ou s’il s’agit juste d’un coup de bluff marketing.

    « Ils semblent très confiants quant à leur capacité à rester », a ajouté l’expert.

    Un second expert a déclaré que Grayshift a abordé le mode restreint USB dans un webinaire il y a plusieurs semaines. Néanmoins, la nouvelle fonctionnalité d'Apple est toujours alarmante pour les forces de l’ordre.

    GrayKey

    Le GrayKey lui-même est une petite boîte qui a des câbles pour connecter deux iPhones à la fois. Bien que les détails techniques sur la manière dont GrayKey arrive à contourner les mécanismes de sécurité de l’iPhone ne soient pas disponibles, le GrayKey fait appel à des techniques de forces brutes.

    Nom : apple_1.png
Affichages : 2932
Taille : 151,5 Ko
    Le boîtier GrayKey qui permet de « casser » les protections de deux appareils iOS à la fois.

    Selon les diapositives de l'entreprise, l'appareil dispose de deux stratégies pour accéder aux données sur le téléphone : "Before First Unlock” ou BFU, et "After First Unlock” ou AFU.

    BFU est une attaque par « force brute lente », ce qui signifie qu'il faut 10 minutes par essai. Cela donne accès à des « données limitées ». Cela est probablement dû au fait que la stratégie BFU se produit lorsque le téléphone est éteint à la saisi. Si c'est le cas, lorsqu'il est allumé, l'iPhone dispose de la plupart de ses données, y compris les contacts, les messages et autres données personnelles encore cryptées.

    L'AFU, quant à elle, est un attaque par « force brute rapide », qui intervient probablement lorsque le téléphone est verrouillé mais qu'il a été allumé puis déverrouillé au moins une fois par le propriétaire. Dans ce cas, il permet 300 000 essais et permet « l'extraction parallèle des données de pré-déblocage ». Si l'AFU fonctionne, GrayKey permet de mettre la main sur « 95% des données de l'utilisateur » qui sont alors « disponibles instantanément ».

    Mais le nouveau mode restreint USB d'Apple peut sévèrement limiter ce type d'attaque, car le port Lightning utilisé pour attaquer le téléphone deviendra largement inutile une fois qu’une heure sera passée sans qu’il n’y ait eu un déverrouillage du téléphone.

    L'option, qui est apparue dans la première bêta d'iOS 11.4.1 et elle est aussi présente dans la préversion d'iOS 12, se trouve dans les réglages Face ID et code, en bas du panneau.

    Source : MB

    Et vous ?

    Qu'en pensez-vous ? Coup de bluff ou réalité ?

    Voir aussi :

    Un mauvais usage de l'API de vérification du code signé avec l'outil d'Apple pourrait rendre du code malicieux indétectable sur macOS, selon Pitts
    WWDC 2018 : Apple lance WatchOS 5, le nouvel OS de sa smartwatch qui intègre le mode Walkie Talkie, les podcasts, la détection de work-out
    Apple tacle Facebook en présentant de nouvelles mesures anti-traçage dans Safari, bientôt la fin du pistage des internautes ?
    Fonctionnalités clés liées aux développeurs introduites dans macOS 10.14 : Apple note la dépréciation d'OpenGL et OpenCL
    WWDC 2018 : Apple dévoile Mojave, le nouveau macOS 10.14 qui succèdera à High Sierra et introduit le support des applications iOS sur Mac
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  6. #6
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 359
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 359
    Points : 195 969
    Points
    195 969
    Par défaut Un hacker montre qu'il est possible de contourner le mécanisme de sécurité d'iOS
    Un hacker montre qu'il est possible de contourner le mécanisme de sécurité d'iOS,
    pour lancer une attaque par force brute et déverrouiller un iPhone

    Matthew Hickey, chercheur en sécurité et co-fondateur du cabinet de cybersécurité Hacker House, a tweeté vendredi sur un moyen potentiel de contourner les mesures de sécurité, lui permettant d'entrer autant de mots de passe qu'il le souhaite, même sur la dernière version d'iOS 11.3.

    Pour rappel, au-delà de dix mauvais mots de passe, l'appareil peut être configuré pour effacer son contenu. Cependant, Hickey a expliqué qu'il a trouvé un moyen de contourner cela.

    Fondamentalement, sa méthode consiste à tromper le système de protection iOS et obtenir les droits d'essayer autant de codes qu'il veut dans une tentative de déverrouiller l'iPhone. Cela signifie que tout le monde serait en mesure de forcer les codes d'accès de l'iPhone sans avoir à attendre plus longtemps entre les tentatives et sans atteindre la limite de 10 qui conduirait à l'effacement de l'appareil.

    Hickey explique que sa méthode ne nécessite aucune technique avancée, mais seulement un iPhone déjà allumé et un câble Lightning.

    Nom : ios.png
Affichages : 6786
Taille : 30,3 Ko

    Au lieu d'entrer les codes d'accès iPhone un par un, ce qui augmenterait progressivement le temps d'attente entre les tentatives et supprimerait finalement les données, le chercheur dit que les attaquants peuvent simplement envoyer une chaîne contenant toutes les combinaisons de codes sans espaces. Cela signifie qu'au lieu de gérer les entrées de code d'accès une par une et d'augmenter le temps d'attente, l'iPhone lit chaque combinaison sans interruption, donc aucun temps d'attente n'est ajouté.

    Une preuve de concept montre à quel point la méthode peut être utilisée par presque tout le monde, bien que le chercheur explique que le processus peut durer de quelques secondes à plusieurs semaines avant que le bon mot de passe ne soit découvert.

    Dans sa démo, il a utilisé une combinaison de tous les nombres compris entre 0000 et 9999, puis il a mis le résultat dans une seule chaîne de caractère sans espace. Il a expliqué que, parce que cela ne donne aucune pause au logiciel, la routine d'entrée au clavier a la priorité sur la fonction d'effacement des données du périphérique.

    La méthode fonctionne avec des codes d'accès à 4 chiffres et à 6 chiffres, mais il va sans dire que plus le code est complexe, plus le temps nécessaire à l'attaque par force brute est long.


    Hickey a fait un tweet plus tard, dans lequel il explique que tous les codes d'accès testés ne sont pas envoyés à l'enclave sécurisée du périphérique, dont la fonction est de protéger l'appareil des attaques par force brute.

    « Les [codes d'accès] ne vont pas toujours dans [le processeur d'enclave sécurisé] dans certains cas - en raison de la numérotation par paquet [ou] des entrées trop rapides - donc bien qu'il semble que les pins sont testés, ils ne sont pas toujours envoyés et donc ils ne comptent pas, les appareils peuvent alors enregistrer moins d’essais qu’il n’y paraît ».

    Hickey a crédité Stefan Esser pour son aide.

    « Je suis retourné vérifier tout le code et les tests », a déclaré Hickey dans un message samedi. « Quand j'ai envoyé des codes au téléphone, il me semblait que 20 ou plus étaient entrés mais en réalité, seuls quatre ou cinq PIN avaient été vérifiés ».

    Apple a déjà été informé du bogue. iOS 12 pourrait le bloquer lors de son lancement en septembre, et à ce stade, il n'est pas encore clair si la nouvelle fonctionnalité de sécurité empêchant les connexions USB après 1 heure sans déverrouiller le périphérique rend le hack obsolète.

    Source : Twitter (1, 2)

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Un mauvais usage de l'API de vérification du code signé avec l'outil d'Apple pourrait rendre du code malicieux indétectable sur macOS, selon Pitts
    WWDC 2018 : Apple lance WatchOS 5, le nouvel OS de sa smartwatch qui intègre le mode Walkie Talkie, les podcasts, la détection de work-out
    Apple tacle Facebook en présentant de nouvelles mesures anti-traçage dans Safari, bientôt la fin du pistage des internautes ?
    Fonctionnalités clés liées aux développeurs introduites dans macOS 10.14 : Apple note la dépréciation d'OpenGL et OpenCL
    WWDC 2018 : Apple dévoile Mojave, le nouveau macOS 10.14 qui succèdera à High Sierra et introduit le support des applications iOS sur Mac
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  7. #7
    Membre extrêmement actif
    Homme Profil pro
    Graphic Programmer
    Inscrit en
    Mars 2006
    Messages
    1 532
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Graphic Programmer
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2006
    Messages : 1 532
    Points : 3 880
    Points
    3 880
    Par défaut
    c'est drôle, ne pouvoir rien faire d'autre que lancer une attaque par force brute est synonyme de déblocage de l'iphone ?

  8. #8
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 359
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 359
    Points : 195 969
    Points
    195 969
    Par défaut Apple assure que le mécanisme de sécurité d'iOS n'a pas été contourné par le chercheur Matthew Hickey
    Apple assure que le mécanisme de sécurité d'iOS n'a pas été contourné par Matthew Hickey,
    le chercheur en sécurité revient sur ses déclarations

    Matthew Hickey, chercheur en sécurité et co-fondateur du cabinet de cybersécurité Hacker House, a tweeté vendredi sur un moyen potentiel de contourner les mesures de sécurité, lui permettant d'entrer autant de mots de passe qu'il le souhaite, même sur la dernière version d'iOS 11.3.

    Pour rappel, au-delà de dix mauvais mots de passe, l'appareil peut être configuré pour effacer son contenu. Cependant, Hickey a expliqué qu'il a trouvé un moyen de contourner cela.

    Fondamentalement, sa méthode consiste à tromper le système de protection iOS et obtenir les droits d'essayer autant de codes qu'il veut dans une tentative de déverrouiller l'iPhone. Cela signifie que tout le monde serait en mesure de forcer les codes d'accès de l'iPhone sans avoir à attendre plus longtemps entre les tentatives et sans atteindre la limite de 10 qui conduirait à l'effacement de l'appareil.

    Au lieu d'entrer les codes d'accès iPhone un par un, ce qui augmenterait progressivement le temps d'attente entre les tentatives et supprimerait finalement les données, le chercheur dit que les attaquants peuvent simplement envoyer une chaîne contenant toutes les combinaisons de codes sans espaces. Cela signifie qu'au lieu de gérer les entrées de code d'accès une par une et d'augmenter le temps d'attente, l'iPhone lit chaque combinaison sans interruption, donc aucun temps d'attente n'est ajouté.

    Le PDG de la société de sécurité Antidote UG, Stefan Esser, a contesté les premiers résultats, déclarant sur Twitter :

    « Y a-t-il une vidéo où cela fonctionne réellement ? Je veux dire : vous insérez le vrai mot de passe et il finit par débloquer. Je crois que j'ai essayé quelque chose comme ceci et il s'est avéré que toutes les séquences ont été des échecs parce que l'appareil n'essaye pas réellement ces mots de passe jusqu'à ce que vous mettiez en pause »

    Nom : stefan.png
Affichages : 13391
Taille : 35,1 Ko

    Plus tard, il a tweeté : « Je me demande si Apple va commenter publiquement ceci et dire que ce n'est pas vrai et que c'est juste le résultat d'un mauvais test » en réponse à un tweet qui disait « Le hack contourne la limite d’essais de mots de passe de l'iPhone (la fonction de sécurité qui a empêché au FBI d'entrer dans l'iPhone de San Bernardino) en envoyant tous les essais de code en une fois - en énumérant chaque code de 0000 à 9999 dans une chaîne sans espaces »

    Apple a fait une déclaration à ce sujet, par le biais de son porte-parole Michele Wyman : « Le rapport récent sur un contournement de code d'accès sur iPhone était erroné et le résultat de tests incorrects »

    Une déclaration qui a conduit Hickey a refaire des tests puis à modifier la description de sa vidéo en conséquence pour faire comprendre que le contournement n’en était pas un en réalité :

    « iOS a un problème dans l'interface utilisateur lorsque le code PIN est envoyé en double ou trop rapidement, pour éviter l'entrée accidentelle des PIN, ces PIN ne sont jamais testés par l'appareil. Cette vidéo montre ce que l'on croyait être un exploit de contournement pour la fonction d'effacement de données, mais le SEP ne traite pas la majorité des PIN d'entrée en raison de la fonctionnalité susmentionnée dans iOS. Ainsi, bien que l'appareil semble traiter plusieurs PIN en même temps, il ne traite en réalité qu'un plus petit nombre d'entrées. Cela signifie que l'attaque par contournement n'est pas valide »

    Source : Twitter Stefan Esser,

    Voir aussi :

    Un mauvais usage de l'API de vérification du code signé avec l'outil d'Apple pourrait rendre du code malicieux indétectable sur macOS, selon Pitts
    WWDC 2018 : Apple lance WatchOS 5, le nouvel OS de sa smartwatch qui intègre le mode Walkie Talkie, les podcasts, la détection de work-out
    Apple tacle Facebook en présentant de nouvelles mesures anti-traçage dans Safari, bientôt la fin du pistage des internautes ?
    Fonctionnalités clés liées aux développeurs introduites dans macOS 10.14 : Apple note la dépréciation d'OpenGL et OpenCL
    WWDC 2018 : Apple dévoile Mojave, le nouveau macOS 10.14 qui succèdera à High Sierra et introduit le support des applications iOS sur Mac
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  9. #9
    Membre confirmé
    Homme Profil pro
    Inscrit en
    Décembre 2011
    Messages
    267
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Décembre 2011
    Messages : 267
    Points : 555
    Points
    555
    Par défaut
    La grande surprise c'est surtout de comprendre pourquoi la méthode est capable de prendre en entrée plus de 6 digits ?
    Sans être expert en sécurité, un simple contrôle de surface inhibe ce test et je trouve que le communiqué d'Apple n'est pas forcément des plus rassurant puisque qu'ils expliquent juste qu'un nombre moindre d'entrées est testé, mais ça reste quand même plusieurs pin au lieu d'un seul normalement attendu par chaine envoyé ...

  10. #10
    Expert confirmé Avatar de AoCannaille
    Inscrit en
    Juin 2009
    Messages
    1 409
    Détails du profil
    Informations forums :
    Inscription : Juin 2009
    Messages : 1 409
    Points : 4 713
    Points
    4 713
    Par défaut
    Citation Envoyé par Aiekick Voir le message
    c'est drôle, ne pouvoir rien faire d'autre que lancer une attaque par force brute est synonyme de déblocage de l'iphone ?
    ça reste une faille de sécurité si cela prend un temps raisonnable genre une semaine. ça devrait prendre 2 ans pour ne pas être un problème.
    Il devrait y avoir des délais entre les essais qui augmentent exponentiellement, c'est ça qui est contourné avec succès.

  11. #11
    Expert éminent sénior
    Avatar de Coriolan
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mai 2016
    Messages
    701
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Sarthe (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mai 2016
    Messages : 701
    Points : 51 808
    Points
    51 808
    Par défaut Apple publie iOS 11.4.1
    Apple publie iOS 11.4.1
    Un mode USB restreint bloque désormais un outil utilisé par la police pour débloquer l'iPhone

    Apple est monté au créneau en 2016 après avoir refusé de céder aux appels du FBI pour déverrouiller un iPhone lié à l’attentat de San Bernardino. La firme a refusé d’implanter une porte dérobée dans son logiciel pour permettre à l’agence fédérale d’outrepasser les mesures de sécurité conçues pour protéger les données chiffrées sur iOS. La pomme a justifié cette décision par le risque de voir des acteurs malicieux exploiter un tel “backdoor” ce qui rend vulnérables les appareils de millions d'utilisateurs.

    En avril, des rapports ont informé qu’une entreprise au nom de Grayshift a réussi à développer un outil peu coûteux qui permet de débloquer n'importe quel iPhone. Une technologie aussitôt achetée par les services de police locaux et régionaux américains ainsi que le gouvernement fédéral.

    Le dispositif de déchiffrement GrayKey de Grayshift est une petite boîte de 4x4 pouces avec deux câbles de connexion compatibles avec l’iPhone. La boîte GrayKey peut apparemment déverrouiller un iPhone dans environ deux heures si le propriétaire a utilisé un code d'accès à quatre chiffres et trois jours ou plus si un code d'accès à six chiffres a été utilisé.

    Nom : ios1141.jpg
Affichages : 3327
Taille : 53,8 Ko

    C’est ce dispositif qu’Apple a taclé dans une nouvelle mise à jour iOS 11.4.1 que la firme a publiée. Alors que les utilisateurs attendent avec impatience iOS 12, cette mise à jour apporte une fonctionnalité de sécurité importante : un mode USB restreint.

    En gros, pour empêcher l’exploitation de brèches non répertoriées dans iOS, Apple a décidé d’implanter des protections qui rendent difficile, même pour les autorités, de s’introduire dans un iPhone via le port Lightning pour cracker le mot de passe.

    Apple a eu l’ingénieuse idée d’empêcher tout simplement toute connexion USB une fois l’iPhone ou l’iPad ont été verrouillés pendant plus d’une heure. Une fois ce délai passé, iOS va ne va plus permettre à des accessoires USB de se connecter à l’appareil, ce qui rend inutilisables les outils comme GrayKey. Cette option est activée par défaut par la nouvelle mise à jour, mais l’utilisateur peut toujours la désactiver dans les réglages s’il souhaite outrepasser cette limite.

    Apple, défenseur des criminels ?

    La décision d’Apple de limiter le mode USB pourrait encore une fois mettre en confrontation la firme avec les autorités. En effet, ces derniers ont auparavant accusé la pomme de protéger de manière flagrante les activités criminelles. Une chose qu’Apple nie catégoriquement et assure agir pour protéger ses clients contre les hackers, les voleurs d’identité et les intrusions à la vie personnelle. Apple a informé qu’elle craint que des criminels puissent exploiter les mêmes failles utilisées par les forces de l’ordre. La firme a ajouté que ses protections n’ont pas pour objectif de frustrer les autorités et rendre leur travail plus difficile.

    Apple a également publié des mises à jour pour l’Apple Watch, Apple TV, HomePod, et incluent pour la plupart des améliorations et des correctifs. La firme devrait désormais concentrer ses efforts sur l’arrivée de la prochaine mise à jour majeure d’iOS (iOS 12) qui sera disponible probablement en automne.

    Source : Apple - The New York Times

    Et vous ?

    Que pensez-vous que cette mesure de sécurité ?
    Pensez-vous qu'elle sera suffisante pour protéger la confidentialité des utilisateurs ?

    Voir aussi :

    Étude : nos téléphones ne nous enregistrent pas secrètement, mais certaines apps font des captures d'écran et les envoient à des parties tierces
    Aux États-Unis, posséder un iPhone ou un iPad d'Apple serait un signe extérieur de richesse, selon une étude
    La bêta publique d'iOS 12 est disponible en téléchargement et s'accompagne de nombreuses fonctionnalités, parmi lesquelles certaines sont orientées AR
    Apple assure que le mécanisme de sécurité d'iOS n'a pas été contourné par Matthew Hickey, le chercheur en sécurité revient sur ses déclarations
    Forum Développement iOS, Rubrique iOS
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

Discussions similaires

  1. Réponses: 0
    Dernier message: 05/04/2016, 19h44
  2. Creative Cloud : l’essentiel de ce que les développeurs doivent savoir
    Par Gordon Fowler dans le forum Cloud Computing
    Réponses: 6
    Dernier message: 02/05/2012, 15h27
  3. Comment empêcher que les textout se chevauchent ?
    Par kidpaddle2 dans le forum Windows
    Réponses: 52
    Dernier message: 30/06/2006, 00h12

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo