Depuis iOS 10, les sauvegardes chiffrées sur iTunes sont moins bien protégées

Depuis iOS 10, les sauvegardes chiffrées sur iTunes sont moins bien protégées

Faute avouée est à moitié pardonnée

Avatar de l'auteur
Vincent Hermann

Publié dans

Société numérique

26/09/2016 4 minutes
22

Depuis iOS 10, les sauvegardes chiffrées sur iTunes sont moins bien protégées

Apple a reconnu l’existence d’un problème de sécurité avec les sauvegardes iTunes faites depuis des appareils iOS 10. La société travaille sur une solution et recommande en attendant que les utilisateurs verrouillent soigneusement les ordinateurs.

Depuis le premier iPhone, l’utilisateur peut réaliser des sauvegardes via iTunes. L’intégralité du contenu est ainsi préservée dans une archive dont l’accès peut être verrouillé et chiffré. Ces sauvegardes locales ne sont plus depuis longtemps la seule manière de faire, mais permettent une restauration assez rapide en cas de problème, l’archive restaurant les applications, leurs données, les SMS, historiques et autres.

Un chiffrement qui laisse passer la force brute

Depuis iOS 10 cependant, une étape n’est plus correctement faite dans la protection mise en place quand l’utilisateur choisit de la chiffrer. Le souci a été détecté par la société Elcomsoft, qui a averti Apple dans la foulée. Elle indique qu’iTunes utilise une nouvelle méthode de sauvegarde pour le nouveau système mobile, mais qui ne dispose pas des mêmes sécurités que l’ancienne. D’ailleurs, celle-ci est toujours en place pour les versions antérieures d’iOS.

Plus précisément, Elcomsoft indique avoir trouvé une « méthode alternative de vérifications des mots de passe » dans les sauvegardes iOS 10. En examinant ce mécanisme de plus près, la société s’est aperçu qu'il manquait des barrières atténuant normalement l’efficacité de la force brute pour récupérer le mot de passe.

Résultat, l’outil utilisé pour trouver le sésame a fonctionné à la cadence de 6 millions de tentatives par seconde, soit une rapidité de traitement 2 500 fois supérieure à ce qui était possible sur une sauvegarde iOS 9. Dans 80 à 90 % des cas, Elcomsoft indique que son outil a trouvé le bon mot de passe. Les archives contenant également le contenu du Trousseau et donc d’autres identifiants, le souci de sécurité est sérieux.

Apple reconnaît le problème

Dans une réponse donnée à Forbes, Apple a reconnu qu’il existait bien un problème : « Nous sommes informés d’un problème touchant le niveau de chiffrement des sauvegardes des appareils iOS 10 […]. Nous corrigerons ce souci dans une prochaine mise à jour de sécurité ». Le conseil d’Apple ? « Nous recommandons aux utilisateurs de s’assurer que leurs Mac et PC sont protégés par des mots de passe forts et ne sont accessibles qu’à des personnes autorisées ».

La firme précise cependant que les sauvegardes iCloud ne sont pas concernées par ce problème. Un point important car iTunes n’est plus depuis longtemps le seul moyen de mettre ses informations de côté. En fait, bon nombre d’utilisateurs d’appareils iOS n’installent même plus iTunes sur leur PC, iCloud sauvegardant automatiquement les données. Si tant est que ces dernières ne dépassent pas les petits 5 Go octroyés par Apple, auquel cas le premier abonnement est de 99 centimes par mois pour 50 Go.

Protéger l'accès à la machine

En attendant, on ne sait pas vraiment où se situe précisément le problème, dans iOS 10 ou dans iTunes. Dans le doute, si vous n’avez pas moyen de contrôler l’accès à l’ordinateur, mieux vaut se passer de sauvegarde. Si la session du Mac ou du PC est protégée par un mot de passe fort et que l’unité de stockage elle-même est chiffrée (FileVault, BitLocker et autre), le risque est par contre faible.

22

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un chiffrement qui laisse passer la force brute

Apple reconnaît le problème

Protéger l'accès à la machine

Commentaires (22)


Apple semble rencontrer pas mal de problème sur le nouvel IOS, ils ont fait le même coup pour le 9. À se demander s’ils testent vraiment leur OS (sur une flotte conséquente j’entends) avant de le mettre à dispo.

Ce n’est pas du basching pur et dur, je trouve juste dommage que des erreurs comme ça soit encore faite de nos jours, c’est comme les faux raccord jours/nuits dans les films …


Un gros chien, ça compte pour protéger l’accès à la machine ?


ça dépend pas de la taille du chien.

mieux vaut un petit teigneux qu’un gros toutou. <img data-src=" />


Je plussoie, j’ai un iPhone SE sous IOS10 et bien que l’ensemble soit stable, j’ai tout de même quelque glitch avec mon VPN, ou des petites choses ça et là. Comme quoi, tous les OS en version 10 ont des problèmes… ( oui windaube, c’est à toi que je pense &nbsp;).


En lisant le papier de la société Elcomsoft, on voit qu’il faut aussi ne pas laisser un iPhone déverrouillé sans surveillance, il est facile d’après eux de déclencher une sauvegarde et ensuite attaquer en bruteforce.


De toute manière, laisser son smartphone déverrouillé sur la table, que ce soit un IPhone ou un autre, c’est une invitation à se prendre une taloche.


Y a encore des gens qui utilisent le Cloud? Ils sont pas assez naif comme ça ?


C’est quoi le rapport avec le cloud ?


le tel verrouillé, c’est comme les mots de passe: ça fait chier les gens, du coup 90% ne verrouillent pas.

encore un truc de nerds. ^^



ah si pardon: depuis qu’ils ont mis des lecteurs d’empreinte les gens verrouillent puisque c’est plus rapide.








Thanat0s a écrit :



C’est quoi le rapport avec le cloud ?





Le rapport c’est que “réaliser des sauvegardes sur iTunes” (premiere phrase de l’article) ca implique nécéssairement de copier ses fichiers dans le cloud.



Au risque de paraître mauvaise langue, ne sagirait-il pas d’une tentative (visiblement pas assez) discrète de plaire à la NSA ?

Apple continue de chiffrer et clamer haut et fort qu’il ne collaborera pas avec les Men In Black, mais ces derniers peuvent maintenant tout faire sauter en 10s :p



Les techos (ou commerciaux, je n’en sais rien) de chez Apple ne sont pas plus intelligents que leurs homologues de chez MS, Google, Samsung etc : parfois, ils tentent un truc totalement débile en espérant que ça passera.








RRMX a écrit :



Le rapport c’est que “réaliser des sauvegardes sur iTunes” (premiere phrase de l’article) ca implique nécéssairement de copier ses fichiers dans le cloud.





Non. Une sauvegarde sur iTunes est une sauvegarde en local sur ton PC/Mac qui a lieu lors d’une synchronisation locale (USB ou wifi local).



euhh non justement c’est réaliser ses sauvegardes sur iTunes qui permet de se passer des sauvegardes dans le nuage …


Perdu !

Sur iTunes la sauvegarde est en local justement.



D’ailleurs en choisissant l’option chiffrement de cette sauvegarde, plus d’éléments sont sauvegardés, notamment ceux contenant des mots de passe.



A force de fustiger le cloud juste par principe, on fini par s’égarer un peu…



Personnellement j’attend qu’Apple change la méthode de chiffrement d’iCloud afin que plus personne n’y ai accès (y compris eux). Apparemment c’est en cours…



Quant aux problème de la sauvegarde iTunes il a été identifié et une solution ne saurait tarder.


La NSA n’a pas besoin qu’Apple réduise la sécurité de la sauvegarde iTunes car il lui suffit de demander à Apple l’accès à la sauvegarde iCloud (ce qui est encore possible mais peut-être plus à l’avenir), qui d’ailleurs contient plus d’informations que la sauvegarde iTunes.



Apple publie les statistiques de ces demandes d’accès, dans le cadre prévu par la loi.








hellmut a écrit :



ah si pardon: depuis qu’ils ont mis des lecteurs d’empreinte les gens verrouillent puisque c’est plus rapide.





C’est pas plus rapide, c’est juste instantané, c’est trop bien <img data-src=" />









RRMX a écrit :



Le rapport c’est que “réaliser des sauvegardes sur iTunes” (premiere phrase de l’article) ca implique nécéssairement de copier ses fichiers dans le cloud.





AHAHAHAHAHA





Jerry Golay, May Trayfor !









RRMX a écrit :



Le rapport c’est que “réaliser des sauvegardes sur iTunes” (premiere phrase de l’article) ca implique nécéssairement de copier ses fichiers dans le cloud.





Dès qu’il y a une news avec le mot clé “Apple” dans l’article, ça rameute tous les experts visiblement.









jpaul a écrit :



Dès qu’il y a une news avec le mot clé “Apple” dans l’article, ça rameute tous les experts visiblement.





Jerry <img data-src=" />



Ben forcément, avec 16&nbsp;32&nbsp;24 Go (réels), ça reste peu …


la NSA ne demande rien. c’est le FBI dont tu parles.

la NSA fait sa tambouille dans son coin.








grosbidule a écrit :



Au risque de paraître mauvaise langue, ne sagirait-il pas d’une tentative (visiblement pas assez) discrète de plaire à la NSA ?



Apple continue de chiffrer et clamer haut et fort qu'il ne collaborera pas avec les Men In Black, mais ces derniers peuvent maintenant tout faire sauter en 10s :p    





Les techos (ou commerciaux, je n’en sais rien) de chez Apple ne sont pas plus intelligents que leurs homologues de chez MS, Google, Samsung etc : parfois, ils tentent un truc totalement débile en espérant que ça passera.





C’est une chose à laquelle j’ai aussi pensé. Ça serait une manière intelligente pour eux de sauver la face en satisfaisant les demandes des autorités (mais plutôt FBI/Police que NSA).

&nbsp;





Thanat0s a écrit :



La NSA n’a pas besoin qu’Apple réduise la sécurité de la sauvegarde iTunes car il lui suffit de demander à Apple l’accès à la sauvegarde iCloud (ce qui est encore possible mais peut-être plus à l’avenir), qui d’ailleurs contient plus d’informations que la sauvegarde iTunes.



Apple publie les statistiques de ces demandes d’accès, dans le cadre prévu par la loi.



Il me semble que la sauvegarde iTunes contient justement plus d’informations que la sauvegarde iCloud, mais je n’ai plus les liens sous la main.