Connexion
Abonnez-vous

Depuis iOS 10, les sauvegardes chiffrées sur iTunes sont moins bien protégées

Faute avouée est à moitié pardonnée

Depuis iOS 10, les sauvegardes chiffrées sur iTunes sont moins bien protégées

Le 26 septembre 2016 à 15h00

Apple a reconnu l’existence d’un problème de sécurité avec les sauvegardes iTunes faites depuis des appareils iOS 10. La société travaille sur une solution et recommande en attendant que les utilisateurs verrouillent soigneusement les ordinateurs.

Depuis le premier iPhone, l’utilisateur peut réaliser des sauvegardes via iTunes. L’intégralité du contenu est ainsi préservée dans une archive dont l’accès peut être verrouillé et chiffré. Ces sauvegardes locales ne sont plus depuis longtemps la seule manière de faire, mais permettent une restauration assez rapide en cas de problème, l’archive restaurant les applications, leurs données, les SMS, historiques et autres.

Un chiffrement qui laisse passer la force brute

Depuis iOS 10 cependant, une étape n’est plus correctement faite dans la protection mise en place quand l’utilisateur choisit de la chiffrer. Le souci a été détecté par la société Elcomsoft, qui a averti Apple dans la foulée. Elle indique qu’iTunes utilise une nouvelle méthode de sauvegarde pour le nouveau système mobile, mais qui ne dispose pas des mêmes sécurités que l’ancienne. D’ailleurs, celle-ci est toujours en place pour les versions antérieures d’iOS.

Plus précisément, Elcomsoft indique avoir trouvé une « méthode alternative de vérifications des mots de passe » dans les sauvegardes iOS 10. En examinant ce mécanisme de plus près, la société s’est aperçu qu'il manquait des barrières atténuant normalement l’efficacité de la force brute pour récupérer le mot de passe.

Résultat, l’outil utilisé pour trouver le sésame a fonctionné à la cadence de 6 millions de tentatives par seconde, soit une rapidité de traitement 2 500 fois supérieure à ce qui était possible sur une sauvegarde iOS 9. Dans 80 à 90 % des cas, Elcomsoft indique que son outil a trouvé le bon mot de passe. Les archives contenant également le contenu du Trousseau et donc d’autres identifiants, le souci de sécurité est sérieux.

Apple reconnaît le problème

Dans une réponse donnée à Forbes, Apple a reconnu qu’il existait bien un problème : « Nous sommes informés d’un problème touchant le niveau de chiffrement des sauvegardes des appareils iOS 10 […]. Nous corrigerons ce souci dans une prochaine mise à jour de sécurité ». Le conseil d’Apple ? « Nous recommandons aux utilisateurs de s’assurer que leurs Mac et PC sont protégés par des mots de passe forts et ne sont accessibles qu’à des personnes autorisées ».

La firme précise cependant que les sauvegardes iCloud ne sont pas concernées par ce problème. Un point important car iTunes n’est plus depuis longtemps le seul moyen de mettre ses informations de côté. En fait, bon nombre d’utilisateurs d’appareils iOS n’installent même plus iTunes sur leur PC, iCloud sauvegardant automatiquement les données. Si tant est que ces dernières ne dépassent pas les petits 5 Go octroyés par Apple, auquel cas le premier abonnement est de 99 centimes par mois pour 50 Go.

Protéger l'accès à la machine

En attendant, on ne sait pas vraiment où se situe précisément le problème, dans iOS 10 ou dans iTunes. Dans le doute, si vous n’avez pas moyen de contrôler l’accès à l’ordinateur, mieux vaut se passer de sauvegarde. Si la session du Mac ou du PC est protégée par un mot de passe fort et que l’unité de stockage elle-même est chiffrée (FileVault, BitLocker et autre), le risque est par contre faible.

Commentaires (22)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Apple semble rencontrer pas mal de problème sur le nouvel IOS, ils ont fait le même coup pour le 9. À se demander s’ils testent vraiment leur OS (sur une flotte conséquente j’entends) avant de le mettre à dispo.

Ce n’est pas du basching pur et dur, je trouve juste dommage que des erreurs comme ça soit encore faite de nos jours, c’est comme les faux raccord jours/nuits dans les films …

votre avatar

Un gros chien, ça compte pour protéger l’accès à la machine ?

votre avatar







jpaul a écrit :



Dès qu’il y a une news avec le mot clé “Apple” dans l’article, ça rameute tous les experts visiblement.





Jerry <img data-src=" />


votre avatar

Ben forcément, avec 16&nbsp;32&nbsp;24 Go (réels), ça reste peu …

votre avatar

la NSA ne demande rien. c’est le FBI dont tu parles.

la NSA fait sa tambouille dans son coin.

votre avatar







grosbidule a écrit :



Au risque de paraître mauvaise langue, ne sagirait-il pas d’une tentative (visiblement pas assez) discrète de plaire à la NSA ?



Apple continue de chiffrer et clamer haut et fort qu'il ne collaborera pas avec les Men In Black, mais ces derniers peuvent maintenant tout faire sauter en 10s :p    





Les techos (ou commerciaux, je n’en sais rien) de chez Apple ne sont pas plus intelligents que leurs homologues de chez MS, Google, Samsung etc : parfois, ils tentent un truc totalement débile en espérant que ça passera.





C’est une chose à laquelle j’ai aussi pensé. Ça serait une manière intelligente pour eux de sauver la face en satisfaisant les demandes des autorités (mais plutôt FBI/Police que NSA).

&nbsp;





Thanat0s a écrit :



La NSA n’a pas besoin qu’Apple réduise la sécurité de la sauvegarde iTunes car il lui suffit de demander à Apple l’accès à la sauvegarde iCloud (ce qui est encore possible mais peut-être plus à l’avenir), qui d’ailleurs contient plus d’informations que la sauvegarde iTunes.



Apple publie les statistiques de ces demandes d’accès, dans le cadre prévu par la loi.



Il me semble que la sauvegarde iTunes contient justement plus d’informations que la sauvegarde iCloud, mais je n’ai plus les liens sous la main.


votre avatar

ça dépend pas de la taille du chien.

mieux vaut un petit teigneux qu’un gros toutou. <img data-src=" />

votre avatar

Je plussoie, j’ai un iPhone SE sous IOS10 et bien que l’ensemble soit stable, j’ai tout de même quelque glitch avec mon VPN, ou des petites choses ça et là. Comme quoi, tous les OS en version 10 ont des problèmes… ( oui windaube, c’est à toi que je pense &nbsp;).

votre avatar

En lisant le papier de la société Elcomsoft, on voit qu’il faut aussi ne pas laisser un iPhone déverrouillé sans surveillance, il est facile d’après eux de déclencher une sauvegarde et ensuite attaquer en bruteforce.

votre avatar

De toute manière, laisser son smartphone déverrouillé sur la table, que ce soit un IPhone ou un autre, c’est une invitation à se prendre une taloche.

votre avatar

Y a encore des gens qui utilisent le Cloud? Ils sont pas assez naif comme ça ?

votre avatar

C’est quoi le rapport avec le cloud ?

votre avatar

le tel verrouillé, c’est comme les mots de passe: ça fait chier les gens, du coup 90% ne verrouillent pas.

encore un truc de nerds. ^^



ah si pardon: depuis qu’ils ont mis des lecteurs d’empreinte les gens verrouillent puisque c’est plus rapide.

votre avatar







Thanat0s a écrit :



C’est quoi le rapport avec le cloud ?





Le rapport c’est que “réaliser des sauvegardes sur iTunes” (premiere phrase de l’article) ca implique nécéssairement de copier ses fichiers dans le cloud.


votre avatar

Au risque de paraître mauvaise langue, ne sagirait-il pas d’une tentative (visiblement pas assez) discrète de plaire à la NSA ?

Apple continue de chiffrer et clamer haut et fort qu’il ne collaborera pas avec les Men In Black, mais ces derniers peuvent maintenant tout faire sauter en 10s :p



Les techos (ou commerciaux, je n’en sais rien) de chez Apple ne sont pas plus intelligents que leurs homologues de chez MS, Google, Samsung etc : parfois, ils tentent un truc totalement débile en espérant que ça passera.

votre avatar







RRMX a écrit :



Le rapport c’est que “réaliser des sauvegardes sur iTunes” (premiere phrase de l’article) ca implique nécéssairement de copier ses fichiers dans le cloud.





Non. Une sauvegarde sur iTunes est une sauvegarde en local sur ton PC/Mac qui a lieu lors d’une synchronisation locale (USB ou wifi local).


votre avatar

euhh non justement c’est réaliser ses sauvegardes sur iTunes qui permet de se passer des sauvegardes dans le nuage …

votre avatar

Perdu !

Sur iTunes la sauvegarde est en local justement.



D’ailleurs en choisissant l’option chiffrement de cette sauvegarde, plus d’éléments sont sauvegardés, notamment ceux contenant des mots de passe.



A force de fustiger le cloud juste par principe, on fini par s’égarer un peu…



Personnellement j’attend qu’Apple change la méthode de chiffrement d’iCloud afin que plus personne n’y ai accès (y compris eux). Apparemment c’est en cours…



Quant aux problème de la sauvegarde iTunes il a été identifié et une solution ne saurait tarder.

votre avatar

La NSA n’a pas besoin qu’Apple réduise la sécurité de la sauvegarde iTunes car il lui suffit de demander à Apple l’accès à la sauvegarde iCloud (ce qui est encore possible mais peut-être plus à l’avenir), qui d’ailleurs contient plus d’informations que la sauvegarde iTunes.



Apple publie les statistiques de ces demandes d’accès, dans le cadre prévu par la loi.

votre avatar







hellmut a écrit :



ah si pardon: depuis qu’ils ont mis des lecteurs d’empreinte les gens verrouillent puisque c’est plus rapide.





C’est pas plus rapide, c’est juste instantané, c’est trop bien <img data-src=" />


votre avatar







RRMX a écrit :



Le rapport c’est que “réaliser des sauvegardes sur iTunes” (premiere phrase de l’article) ca implique nécéssairement de copier ses fichiers dans le cloud.





AHAHAHAHAHA





Jerry Golay, May Trayfor !


votre avatar







RRMX a écrit :



Le rapport c’est que “réaliser des sauvegardes sur iTunes” (premiere phrase de l’article) ca implique nécéssairement de copier ses fichiers dans le cloud.





Dès qu’il y a une news avec le mot clé “Apple” dans l’article, ça rameute tous les experts visiblement.


Depuis iOS 10, les sauvegardes chiffrées sur iTunes sont moins bien protégées

  • Un chiffrement qui laisse passer la force brute

  • Apple reconnaît le problème

  • Protéger l'accès à la machine

Fermer