Depuis iOS 10, les sauvegardes chiffrées sur iTunes sont moins bien protégées

Faute avouée est à moitié pardonnée
Mobilité 3 min
Depuis iOS 10, les sauvegardes chiffrées sur iTunes sont moins bien protégées

Apple a reconnu l’existence d’un problème de sécurité avec les sauvegardes iTunes faites depuis des appareils iOS 10. La société travaille sur une solution et recommande en attendant que les utilisateurs verrouillent soigneusement les ordinateurs.

Depuis le premier iPhone, l’utilisateur peut réaliser des sauvegardes via iTunes. L’intégralité du contenu est ainsi préservée dans une archive dont l’accès peut être verrouillé et chiffré. Ces sauvegardes locales ne sont plus depuis longtemps la seule manière de faire, mais permettent une restauration assez rapide en cas de problème, l’archive restaurant les applications, leurs données, les SMS, historiques et autres.

Un chiffrement qui laisse passer la force brute

Depuis iOS 10 cependant, une étape n’est plus correctement faite dans la protection mise en place quand l’utilisateur choisit de la chiffrer. Le souci a été détecté par la société Elcomsoft, qui a averti Apple dans la foulée. Elle indique qu’iTunes utilise une nouvelle méthode de sauvegarde pour le nouveau système mobile, mais qui ne dispose pas des mêmes sécurités que l’ancienne. D’ailleurs, celle-ci est toujours en place pour les versions antérieures d’iOS.

Plus précisément, Elcomsoft indique avoir trouvé une « méthode alternative de vérifications des mots de passe » dans les sauvegardes iOS 10. En examinant ce mécanisme de plus près, la société s’est aperçu qu'il manquait des barrières atténuant normalement l’efficacité de la force brute pour récupérer le mot de passe.

Résultat, l’outil utilisé pour trouver le sésame a fonctionné à la cadence de 6 millions de tentatives par seconde, soit une rapidité de traitement 2 500 fois supérieure à ce qui était possible sur une sauvegarde iOS 9. Dans 80 à 90 % des cas, Elcomsoft indique que son outil a trouvé le bon mot de passe. Les archives contenant également le contenu du Trousseau et donc d’autres identifiants, le souci de sécurité est sérieux.

Apple reconnaît le problème

Dans une réponse donnée à Forbes, Apple a reconnu qu’il existait bien un problème : « Nous sommes informés d’un problème touchant le niveau de chiffrement des sauvegardes des appareils iOS 10 […]. Nous corrigerons ce souci dans une prochaine mise à jour de sécurité ». Le conseil d’Apple ? « Nous recommandons aux utilisateurs de s’assurer que leurs Mac et PC sont protégés par des mots de passe forts et ne sont accessibles qu’à des personnes autorisées ».

La firme précise cependant que les sauvegardes iCloud ne sont pas concernées par ce problème. Un point important car iTunes n’est plus depuis longtemps le seul moyen de mettre ses informations de côté. En fait, bon nombre d’utilisateurs d’appareils iOS n’installent même plus iTunes sur leur PC, iCloud sauvegardant automatiquement les données. Si tant est que ces dernières ne dépassent pas les petits 5 Go octroyés par Apple, auquel cas le premier abonnement est de 99 centimes par mois pour 50 Go.

Protéger l'accès à la machine

En attendant, on ne sait pas vraiment où se situe précisément le problème, dans iOS 10 ou dans iTunes. Dans le doute, si vous n’avez pas moyen de contrôler l’accès à l’ordinateur, mieux vaut se passer de sauvegarde. Si la session du Mac ou du PC est protégée par un mot de passe fort et que l’unité de stockage elle-même est chiffrée (FileVault, BitLocker et autre), le risque est par contre faible.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !