Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Tuerie de San Bernardino : Apple ne peut ni ne veut aider le FBI à déverrouiller un iPhone

Le risque d'une jurisprudence

Tuerie de San Bernardino : Apple ne peut ni ne veut aider le FBI à déverrouiller un iPhone

Le 17 février 2016 à 14h30

Apple fait face à une demande de la justice américaine lui intimant l’ordre d'aider le FBI à tenter d'accéder aux données d'un iPhone. La société se prépare à contre-attaquer puisqu'elle ne peut déchiffrer un appareil et ne veut pas ouvrir de porte dérobée, ce qui réduirait la sécurité de tous.

Apple se retrouve impliquée dans le procès de Syed Rizwan Farook. Avec l’aide de sa femme, Farook a tué 14 personnes en Californie au cours d’un évènement resté dans les mémoires comme la « tuerie de San Bernardino ». L’accusé disposait d’un iPhone, tombé dans l’escarcelle du FBI en décembre, juste après que les deux auteurs de ces meurtres ont été eux-mêmes abattus par la police lors de l’intervention.

L'impossibilité de fournir une clé qu'on ne possède pas

Depuis environ deux mois, l’agence fédérale tente de récupérer les informations contenues dans le smartphone. Beaucoup de questions sont encore sans réponse et le FBI aimerait en apprendre davantage, notamment sur les motivations du couple, leur organisation, leurs contacts ou plus simplement trouver des pistes pour comprendre ce qui a pu déclencher initialement ce drame.

On retombe ici dans une problématique qui n’a de cesse de revenir sur le devant de la scène depuis environ 18 mois. Suite à l’arrivée d’iOS 8, la grande majorité des données circulant dans un appareil mobile iOS sont chiffrées. La clé générée dépend du code PIN choisi par l’utilisateur, Apple ne la possédant donc pas. La proportion des informations chiffrées a encore augmenté avec iOS 9, le code PIN évoluant à six chiffres, mais l’iPhone du tueur n’avait visiblement pas encore été mis à jour. Ce qui ne change bien sûr rien au problème.

La principale difficulté à laquelle fait face le FBI est de passer l’étape du code PIN. Il est possible de tenter un maximum de dix fois sa chance avant que l’appareil ne se verrouille complètement. Farook a peut-être même activé l’option permettant d’effacer tout le contenu du smartphone en cas de dixième échec. Les enquêteurs ne peuvent donc pas risquer de pousser leur chance à ce point, d’autant qu’il existe de fait 10 000 combinaisons possibles. Un cas concret pour les craintes de James Comey, directeur du FBI, qui s'était justement inquiété de la progression du chiffrement chez Apple et Google.

Tim Cook prend la plume et accuse

Or, un ordre du tribunal exige justement qu’Apple aide l’agence fédérale à contourner la sécurité de l’iPhone pour récupérer les précieuses données qui y sont contenues. Et là, évidemment, la situation coince : Apple ne peut ni ne veut obtempérer. Dans une lettre ouverte publiée cette nuit, le PDG Tim Cook indique que le gouvernement américain a pris une « mesure sans précédent » qui « menace la sécurité » de ses clients. Pour l’entreprise, le temps est venu pour une « discussion publique » sur le thème du chiffrement.

Une fois encore, la société se heurte à la grande problématique du chiffrement : comment protéger efficacement la vie privée des utilisateurs sans pour autant bloquer les forces de l’ordre dans leur travail d’enquête ? Une question à laquelle la tentation des portes dérobées est grande, comme l’indiquait le récent rapport de l’ENISA. Mais pour Apple, il n’y a pas de débat possible : les smartphones contiennent une telle quantité d’informations privées que la nécessité de les protéger est absolue.

« Toutes ces informations ont besoin d’être protégées des pirates et criminels qui veulent y accéder, les voler et les utiliser sans notre connaissance ou notre permission. Les clients attendent d’Apple et des autres sociétés technologiques qu’elles fassent tout ce qui est en leur pouvoir pour protéger ces données personnelles […]. Compromettre la sécurité de nos informations personnelles pourrait à terme mettre notre sécurité personnelle en danger. Voilà pourquoi le chiffrement est devenu si important pour nous tous. »

Un luxe de précautions, mais des positions tranchées

Apple insiste évidemment sur le fait que la tuerie de San Bernardino était un acte horrible et qu’elle n’a « aucune sympathie pour les terroristes ». Et pourtant, la firme a besoin d’une communication publique car elle avance sur une très fine ligne : faire comprendre pourquoi elle ne peut pas obéir à l’ordre du tribunal sans donner l’impression de protéger les criminels. La philosophie d’Apple est ainsi faite que tout le monde est protégé, même quand un utilisateur se trouve être un tueur ou un terroriste. Réduire la sécurité pour l’un réduirait la sécurité pour tous.

Apple indique donc dans sa lettre ouverte avoir fourni au FBI des ingénieurs pour aider autant que possible les agents à avancer. Mais devant le mur qui se dresse désormais, l’entreprise ne peut rien. Du moins en théorie, car il existe deux points très distincts. Sur la demande d’accès direct aux informations chiffrées, il y a clairement impossibilité technique, Apple ne possédant pas la précieuse clé. Mais les demandes du FBI ne s’arrêtent pas là.

Le FBI veut des tentatives illimitées sur le code PIN

L’agence aimerait qu’Apple crée une porte dérobée dans iOS. Contrairement à ce que l’on a l’habitude de voir, il ne s’agirait pas cette fois de « perforer » les défenses du chiffrement, mais de laisser aux forces de l’ordre la possibilité de tenter de passer le code PIN avec un nombre illimité de tentatives. Une attaque par force brute finalement, impossible à ce jour en raison des dix tentatives et du risque d’effacement des données.

La position de la firme est très claire et veut clairement emporter l'adhésion du public : « Le FBI veut que nous créions une nouvelle version du système d’exploitation de l’iPhone pour contourner plusieurs fonctionnalités importantes de sécurité et l’installer sur un iPhone obtenu pendant l’enquête. Entre de mauvaises mains, ce logiciel – qui n’existe pas actuellement – aurait le potentiel de déverrouiller n’importe quel iPhone. Le FBI peut utiliser différents mots pour désigner cet outil, mais ne soyez pas dupes : bâtir une version d’iOS qui contourne la sécurité de cette manière créerait immanquablement une porte dérobée. Et bien que le gouvernement puisse assurer que son utilisation serait limitée à cette affaire, il n’existe aucune garantie d’un tel contrôle. »

Angoisses à Cupertino

Voilà ce que craint l’entreprise : un outil dont le contrôle serait perdu et qui se retrouverait à circuler librement sur Internet et/ou qui serait utilisé à tour de bras par les forces de l’ordre. Les sécurités mises en place ne serviraient plus à rien, pas plus que le code PIN. Apple a également peur que la demande du tribunal crée un dangereux précédent car le FBI passe par la loi All Writs Act de 1789 qui réclame normalement d’une entreprise qu’elle mettre tout en œuvre pour aider les forces de l’ordre au cours d’une enquête.

« Les implications des demandes du gouvernement sont effrayantes. S’il peut utiliser l’All Writs Act pour faciliter le déverrouillage de votre iPhone, il obtiendrait le pouvoir d’atteindre n’importe quel appareil pour en récupérer les données. Le gouvernement pourrait élargir cette brèche dans la vie privée et demander à Apple de bâtir un logiciel de surveillance pour intercepter vos messages, accéder à vos données de santé ou financières, suivre votre position géographique ou même accéder à votre micro ou votre caméra sans que vous le sachiez. »

Apple refuse d'obtempérer

Conséquence, Apple a décidé de combattre l’ordre du tribunal et prépare donc son armada d’avocats. Cette phase du procès pourrait avoir de très lourdes conséquences sur le futur des entreprises proposant des systèmes mobiles car elle aurait tout le potentiel d'une jurisprudence.

Quand bien même Apple est la seule à communiquer pour l’instant (elle est après tout directement concernée par la procédure en cours), d’autres pourraient se manifester, le système juridique américain permettant à de tierces parties de proposer des avis (amicus curiae) pour « éclairer » le tribunal sur une situation particulière. Au vu de ce qui est en jeu, des sociétés comme Google, Microsoft ou même Samsung auraient donc tout loisir de participer à la procédure, comme l'ACLU l'a fait en novembre dernier pour Apple justement.

On peut être surpris néanmoins par le ton employé par Tim Cook dans la lettre. Jamais Apple n’a communiqué officiellement de manière aussi tranchée, voire brutale. Le choix des mots et les affirmations martelées en disent long sur la position de la firme. La question est cependant de savoir si l’entreprise peut réellement combattre et remporter la victoire. Elle a toutes ses chances, notamment parce que l’All Writs Act est utilisé dans un cadre pour lequel il n’a clairement pas été pensé (et pour cause). La position, ferme, est d'ailleurs applaudie par l'Electronic Frontier Foundation (EFF), qui annonce son soutien à l'entreprise dans un communiqué.

Si Apple devait perdre, le FBI aurait en mains une puissante décision pour obtenir de tous les fabricants le même type d’outils. Cependant, il ne faut pas oublier que si les États-Unis avaient le pouvoir d’exiger un tel outil, les autres pays en feraient tout autant. Il est d’ailleurs intéressant de noter que Tim Cook a publié sa lettre ouverte à minuit, heure de la côte Ouest américaine. À cette heure-ci, bon nombre d’Américains dorment, mais l’Europe se réveille. Peut-être une manière d’attirer l’attention de l’Union alors que le Privacy Shield, remplaçant du Safe Harbor, divise déjà.

Commentaires (179)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

En sécurité informatique l’accès physique à la machine change tout tu auras beau crypter tous que tu veux , dés lors que la manipulation hardware est possible la sécurité est compromise.

votre avatar

Bah j’avais pas vu ton deuxième commentaire, mais du coup je t’ais donné l’article que tu demandes :)

votre avatar

mwais… je suis partagé pour le coup.



D’un point de vue purement pratique, le FBI pourrait tout autant récupérer les puces flash et les mettre sur un contrôleur maison et faire leur attaque force brute sans aucun soft Apple dans la chaîne.



Forcer Apple à faire un boulot que le FBI devrait pouvoir faire lui-même me semble un peu abusé.

votre avatar

Quel rapport avec le changement de batterie ? C’est là que sont stockées tes infos ?

Tu sais, il y a d’autres petites pièces en plus d’une batterie dans un smartphone. Genre, comme ça, une mémoire que l’on peut enlever.

votre avatar

Je ne suis pas d’accord : justement ce que tu dis n’est vrais que quand il n’y a pas de cryptage. 

Je ne vois pas en quoi un accès physique au données cryptées permet de se passer de clef de chiffrement. 

votre avatar

C’est effectivement un (le?) bon moyen pour viser une généralisation de cette bonne idée de la backdoor&nbsp;<img data-src=" />

votre avatar

Je n’y crois pas une seul seconde , le gouvernement américain et Apple complice pour faire de la pub.

Plus c’est gros mieux sa passe .

Maintenant beaucoup de gens vont croirent qu’ils sont pas observé par le gouvernement grace a l’iPhone, vont donc l’acheter. ( les dealer , michu etc)

Grosse pub Marketing

votre avatar







Avygeil a écrit :



Sachant que sur iOS, au bout de plusieurs essais infructueux, le délai d’attente entre les essai passe à 24h.



Donc 24h x 10000, ça en fait des jours à attendre pour voir la fin du Brute-force :)



(Et puis là la limite des 10 mdp avant effacement est toujours présente).







Non mais ça c’est à considérer que tu ferais du brute force de feignasse en punissant un stagiaire qui rentre des codes PIN manuels sur un tel physique…



Si tu veux vraiment faire du brute force tu émules le systèmes ou mieux tu le virtualises !

“T’as juste” la flash à copier sur ton OS virtuel et roulemapoule…

Et tant qu’à faire sur ta version de l’OS tu vires ce genre de limitation…


votre avatar







Mesc@lito a écrit :



Quel rapport avec le changement de batterie ? C’est là que sont stockées tes infos ?

Tu sais, il y a d’autres petites pièces en plus d’une batterie dans un smartphone. Genre, comme ça, une mémoire que l’on peut enlever.







A le fameux effet “mémoire” des batteries <img data-src=" />


votre avatar







Lady Komandeman a écrit :



Je suis partagé.

D’un côté, c’est une très bonne nouvelle pour la protection des données.

De l’autre, ça ne me choquerait pas que dans le cadre d’une enquête judiciaire, on puisse déchiffrer un téléphone (mais pas à la volée avec juste des soupçons et sans enquête - je ne cautionne pas le renseignement à grande échelle).





C’est comme si l’état demandait un fabricant de porte de leur donner une clef qui ouvre toutes les portes. Et tu&nbsp; espères que cette clef ne sera pas perdu ou réutilisé. Quand une porte résiste, la police la casse et n’exige pas un pass partout !


votre avatar







ActionFighter a écrit :



Il ne faut pas voir le débat uniquement d’un point de vue vie privée VS sécurité.



La vie privée, c’est aussi un garant de la sécurité, car il est nécessaire que les opinions personnelles puissent s’exercer sans aucune pression, spécialement dans les pays où les agences gouvernementales de renseignement et autres ont des budget collossaux.

Également, le secret des correspondances est essentiel pour certains métiers. Et si l’on commence à mettre des portes dérobées, on peut être sûr qu’elles serviront, et pas que pour les agences gouvernementales, et pas que pour les tueries.





Dangereux extrémiste ! <img data-src=" />



Dire des chose vraies et censées, en remettant les vaches au milieu du pré, c’est maintenant être déviant.



Reprends les éléments de langages du gouvernement, qui oppose ce qui ne s’oppose pas, qui parle d’hyperterrorisme, et les moutons seront bien gardés. Mais au fait, quels moutons ?



/trop de métaphores agricoles <img data-src=" />


votre avatar

Je pensais à la possibilité de casser le cryptage dés lors que tu peux isoler les composants, probing et simulation si je me souviens bien dans la sécu physique des matériels informatiques

votre avatar

Comme déja dit, il y a l’attaque par le hardware par le FBI sans compter les enregistrement de conversation faite par la NSA…

Le but ici est juste d’imposer le plus tôt possible un contrôle sur les constructeurs qui se jettent sur la sécurité depuis l’affaire snowden…

Quoi de mieux que de profiter d’une petite tuerie dont seul les américain ont le secret pour imposer une backdoor.

C’est exactement comme nos politiques qui profitent des attentats pour faire passer des trucs délirant…

votre avatar







seblutfr a écrit :



Tout n’est que communication. Bien sûr, la NSA a sans aucun doute les moyens de déchiffrer / contourner / espionner, mais il est alors difficile de prétendre devant un tribunal que “le tél a été déchiffré par enchantement, il n’existe évidemment aucune solution généralisable pour ça”.







Aaaaaaahhhh bien vu ! Ils veulent éviter un vice de procédure ! C’est logique <img data-src=" />


votre avatar







hellmut a écrit :



oui effectivement, il pourrait y avoir une différence d’application de la loi entre le chiffrement pour soi ou le chiffrement pour autrui. mais aujourd’hui aucune diff dans les textes.





La différence (qui n’est pas dans le texte de loi), c’est le droit à la non auto-incrimination. Celui-ci est reconnu au niveau européen, c’est le même qui permet de ne pas parler en garde à vue.



Par contre, cela reste théorique, personne n’a testé le principe jusqu’à la CDEH.


votre avatar

bah c’est compliqué :



twitter.com Twitter

votre avatar







code a écrit :



Je n’y crois pas une seul seconde , le gouvernement américain et Apple complice pour faire de la pub.

Plus c’est gros mieux sa passe .

Maintenant beaucoup de gens vont croirent qu’ils sont pas observé par le gouvernement grace a l’iPhone, vont donc l’acheter. ( les dealer , michu etc)

Grosse pub Marketing





Malheureusement, il y a une forte possibilité qu’il en soit ainsi…

Un peu comme le gouvernement qui se fait allumer à la télé :




  • le comique tacle le premier ministre

  • le comique en question voit exploser la fréquentation de ses spectacles

  • le ministre s’est fait allumé par un comique, psychologiquement ca invalide l’attaque… un peu comme macron qui se fait remettre en place par un gosse de 12 ans…

    Au final, tout le monde est gagnant…



    Apple le chevalier blanc, le méchant gouvernement pas si méchant que ca vu qu’il ne force pas apple et on a quand même les données&nbsp;<img data-src=" /> comme une histoire de crémière…


votre avatar







NeedSumSleep a écrit :



Je pensais à la possibilité de casser le cryptage dés lors que tu peux isoler les composants, probing et simulation si je me souviens bien dans la sécu physique des matériels informatiques





Si la clef de crypto est caché dans une carte à puce unique, je te souhaite bon courage pour aller l’attraper. En général, il faut des dizaines de puce pour réussir à avoir l’info stocker dedans et pas mal de matos (attaque laser, fib, si il n’y a pas de bug logiciel). Une carte à puce dispose d’élément de stockage interne crypté, protégé par des grilles pour éviter les modifications physiques (en cas de coupure, reset) et des détecteurs de lumière (en cas de détection de laser, reset).


votre avatar

Bah il y a sûrement certains cas ou un accès physique change la donne. Par exemple, un commentaire plus haut évoque la possibilité de récupérer la puce sur un autre contrôleur pour ne plus avoir la limite des 10 essais.&nbsp;

Mais dans tous les cas, le décryptage se fera en force brute, qui n’est envisageable uniquement parce que la clef est basé sur un code pin avec uniquement 4 chiffres.&nbsp;





Dans le cas ultra simple d’une partition truecrypt avec une clef forte, l’accès physique ne changera rien je pense.&nbsp;

votre avatar

L’article ne détaille pas la “deuxième demande”, sur l’aspect de généralisation :&nbsp;



votre avatar

OK merci. <img data-src=" />

votre avatar







blackdream a écrit :



Dans le cas ultra simple d’une partition truecrypt avec une clef forte, l’accès physique ne changera rien je pense.&nbsp;





Si bien sûr, tu peux toujours faire du brute force. Cela demande plus que 10 000 essais, c’est tout. Avec un bon logiciel, tu craques 99% des mots de passe typique en quelques minutes.



Le pin à 4 chiffres des cartes bancaires, n’est valable que si le brute force est impossible. Si tu enlèves le blocage, avec un autre firmware, il n’y a plus aucune protection. D’ailleurs, dans les prochains iphone, si le firmware est dans une carte à puce, il ne pourront rien mettre à jour.


votre avatar

Je suis très chatouilleux sur la vie privée mais la demande des autorités FBI ne pose pas de problème ici puisqu’il s’agirait d’une version spécifique de l’OS uniquement exploitable avec le téléphone en possession. Pour moi on ne peut pas parler de porte dérobée.

votre avatar

Comme je l’ai dit plus haut, à en croire la doc Apple, la clé de chiffrage des données les plus sensible n’est pas le code PIN, même si elle en dépend. Si je me souviens bien, elle dépend du PIN et d’une clé matérielle non lisible (c’est elle qui est effacée après 10 tentatives, pas le contenu de la flash).



Après, toute la mémoire n’est pas chiffrée non-plus, ça dépend du niveau de sécurité de l’application (genre pas la peine de chiffrer ta sauvegarde Candy Crush).

votre avatar

Ça les gênaient beaucoup moins avant sue Snowden fasse sortir quelques dossiers…

Et pas que Apple.

votre avatar

J’y connais rien en sécurité ni dans le matos d’apple mais ils ne peuvent pas imaginer cloner l’appareil sur une machine virtuelle et faire leur bruteforce là dessus genre toutes les dix tentatives ça recrée un clone jusqu’à ce que ça marche et alors on utilise le bon code sur le vrai appareil ? (c’est surement simpliste comme raisonnement ahah je me doute que si ça marchait ils y auraient pensé)

votre avatar

Ça ressemble à une polémique artificielle.

Je n’y crois pas vraiment, moi non plus.

votre avatar

encore une fois, une modif du bootloader et le probleme est regle sur ios. encrypte ou non, une fois arrive a l’entree du code pin les donnees sont lisible.

passer en recovery permet aussi tout un tas de choses.

Les joies du hack et desimlock d’iphone 1 ont vite ete oubliees par bcp :)



edit :et l’article cite en amont explique d’ailleurs tres bien ca. mode DFU, envoi d’un code ios perso signe que le fbi ne peut pas signer eux meme.

votre avatar







noraj a écrit :



J’y connais rien en sécurité ni dans le matos d’apple mais ils ne peuvent pas imaginer cloner l’appareil sur une machine virtuelle et faire leur bruteforce là dessus genre toutes les dix tentatives ça recrée un clone jusqu’à ce que ça marche et alors on utilise le bon code sur le vrai appareil ? (c’est surement simpliste comme raisonnement ahah je me doute que si ça marchait ils y auraient pensé)





S’ils ont l’algo de chiffrement ils n’ont pas besoin de vm, juste de la patience. Les délais entre deux essais et l’autodestruction sont sans impact si le FBI fait son boulot correctement.


votre avatar

Pourtant des solutions existes :&nbsp;http://techcrunch.com/2015/03/19/iphone-bruteforce-pin/&nbsp;PS : il faut une ancienne version tout de meme.

votre avatar







HarmattanBlow a écrit :



Je suis très chatouilleux sur la vie privée mais la demande des autorités FBI ne pose pas de problème ici puisqu’il s’agirait d’une version spécifique de l’OS uniquement exploitable avec le téléphone en possession. Pour moi on ne peut pas parler de porte dérobée.





C’est cette parti là qui est à mourir de rire : “uniquement exploitable avec le téléphone en possession.”



On parle d’un soft : tu branche un iphone 5C crypté, et paf, il s’ouvre tout seul : le mot de passe devient complètement inutile et casse complètement la sécurité des 5C. Les autres iphone ayant un secure storage, c’est une autre complexité.


votre avatar







hellmut a écrit :



ben si:

article 434-15-2&nbsp;du code pénal





Cet article ne concerne que des tiers (par exemple Google). Il ne peut être opposé au droit de non auto-incrimination.



C’est ce que je disais dans mon premier commentaire.


votre avatar







mightmagic a écrit :



Si la crypto empêche il devrait donc y avoir une solution matérielle et non software dispo uniquement à l’intérieur du téléphone pour pouvoir entrer dans le téléphone crypté comme ça seule la personne ayant le téléphone peut y accéder.&nbsp;



&nbsp;

Ce qui rendrait les données d’un téléphone vulnérable au vol de l’appareil. Perso, si je chiffre le mien, c’est davantage contre cette éventualité que contre celle d’une attaque par réseau.


votre avatar

tu penses bien que si le FBI obtient l’accès à un iPhone il l’obtient pour tous, et que la technique pourra être reproduite par d’autres entités que le FBI.

sans compter que la jurisprudence pourra servir à d’autres services pour d’autres types de demandes.

le FBI demande à Apple de fournir un firmware via une mise à jour de l’OS pour bypasser la protection.

il pourra demander la même chose pour tout un tas de téléphones par la suite, et la NSA et d’autres pourront faire la même chose. Qu’est-ce qui empêchera les services d’autres pays de demander ça aussi, et pas seulement à Apple?

votre avatar

On pourrait imaginer par exemple de créer une sorte de référendum populaire qui expose les faits d’une personne dont la justice a prouvé la culpabilité et qui ainsi récupèrerait sur chaque participant possédant l’appareil une réponse favorable ou pas à l’investigation des données personnelles de l’accusé dans ce cas post mortem, ainsi l’os pourrait créer une sorte de porte dérobée dans ce sens mais qui impliquerait toute la communauté de clients de cet os. Un quota de réponses favorables devrait être déterminé pour déverrouiller l’appareil incriminé. Ainsi tous les utilisateurs agiraient en toute conscience de citoyen et la firme serait protégée. Cela reviendrait à une sorte de tribunal populaire de dimension au moins nationale.

votre avatar







Gundar a écrit :



C’est même encore moins que ça, c’est juste de la com. De toutes façons, ils ont fait appel de la décision de justice, ils seront bien obligé de se conformer au jugement rendu. Les lettres ouvertes, déclarations d’intentions et tout le bordel marketing qui va avec ne devrait pas avoir beaucoup d’influence là dedans.



La décision finale sera interessante, à bien des niveaux, pas seulement celui de la vie privée.



+1



C’est évident que Apple se la joue grand défenseur de la vie privée (je pense qu’il n’en a rien à foutre comme la plupart des grands acteurs du web) et que ça lui fait de la bonne pub pas chère. De plus, ça leur permet de faire un peu oublier le coup de “l’erreur 53” qui rendait les iPhones inutilisables…


votre avatar

Pour en revenir à la niouze, il semble que la récupération des données soit totalement impossible car le FBI a tripoté l’iPhone sans savoir ce qu’il faisait&nbsp;&nbsp; …



http://www.macg.co/aapl/2016/02/san-bernardino-apple-jette-le-trouble-sur-le-fbi…



A lire tout en bas de la page …

<img data-src=" />

&nbsp;Les branquignols ! !

votre avatar







le podoclaste a écrit :



&nbsp;

Ce qui rendrait les données d’un téléphone vulnérable au vol de l’appareil. Perso, si je chiffre le mien, c’est davantage contre cette éventualité que contre celle d’une attaque par réseau.





Le vol c’est autre chose. Le cryptage pour le quidam moyen, c’est pas pour lutter contre le vol mais pour la vie privée.





hellmut a écrit :



tu penses bien que si le FBI obtient l’accès à un iPhone il l’obtient pour tous, et que la technique pourra être reproduite par d’autres entités que le FBI.

sans compter que la jurisprudence pourra servir à d’autres services pour d’autres types de demandes.

le FBI demande à Apple de fournir un firmware via une mise à jour de l’OS pour bypasser la protection.

il pourra demander la même chose pour tout un tas de téléphones par la suite, et la NSA et d’autres pourront faire la même chose. Qu’est-ce qui empêchera les services d’autres pays de demander ça aussi, et pas seulement à Apple?



C’est pour ça qu’il y a des lois dans les pays démocratiques pour que le FBI et d’autres n’outrepassent pas leurs prérogatives.



Ton raisonnement on peut le prendre à l’envers. Si des méchants comme tu le dis profitent de ce cryptage protégeant à 100% pour réaliser les pires atrocités sans qu’ils ne soient inquiétés, tu croies que c’est mieux? Non.



C’est pour ça que je dis qu’il faut trouver un juste équilibre car les attitudes jusqu’au boutisme quelque soit dans le sens que tu le prends, ça ne sera jamais bon.



Le cryptage sans pouvoir décrypter et permettre à des terroristes de faire ce qu’ils veulent&nbsp; est autant une connerie que laisser&nbsp; la NSA fliquer tout le monde. Au final la décision d’apple est donc bien critiquable car ils s’enferment dans une doctrine au lieu d’essayer de trouver une solution viable.


votre avatar

Moi je ne suis pas partagé : la justice demande, apple doit obtempérer



faut quand même se rendre compte que le cryptage c’est une arme, une arme de guerre. turing enigma ca vous dit quelque chose ?

donner le droit à la population le droit de crypter ses données intégralement et sans que la justice puisse décrypter les données cela équivaut à donner un port d’arme à toute la population.



certain seront peut être choqué de ce que je dis, qu’une arme et le cryptage ça n’a rien à voir, que c’est un troll velu, que le cryptage c’est la garantie de protéger sa vie personnelle, sa liberté, qu’un mobile crypté ne tue pas, ce sont les terroristes, ceux qui violent la loi qui en détournent l’usage, que cela ne généra que les utilisateurs honnêtes etc etc

Certes.

La nra emploie exactement les mêmes argument.

La défense de la liberté, la protection ,qu’une arme ne tue pas c’est la personne qui appuie sur la gâchette qui tue, qu’interdire le port d’arme au gentil n’empêche pas les méchants d’accéder aux armes etc etc.



Cela ne fait pas si longtemps que cela qu’on permet au grand public de crypter les données en fait. Et on l’a permis uniquement pour des raisons commerciales .



Après on peut être pour le port d’arme, pardon la cryptographie intégrale et inviolable et penser que c’est essentiel à nos libertés individuels individuelles mais faut quand même se rendre compte de ce qu’on défend quand on défend un tel cryptage.

Et pour moi dans le fond défendre la cryptographie ce n’est pas défendre la liberté, c’est défendre le commerce.



Pour finir ce qui risque de se passer si apple continue de faire l’autruche c’est que les gouvernements vont tout simplement voter une loi pour obliger à mettre des backdoor dans ces systèmes et cela de manière légale.

Ou encore il pourrait tout simplement interdire au grand public l’usage de tel système.

votre avatar







mightmagic a écrit :



Le vol c’est autre chose. Le cryptage pour le quidam moyen, c’est pas pour lutter contre le vol mais pour la vie privée.





Mais justement, la principale menace sur ma vie privée avec mon smartphone, c’est si quelqu’un le vole (ou le récupère après que je l’ai perdu, ou autres variantes de ce scénario). Le cryptage, c’est aussi (et même surtout) pour protéger mes mails, mon compte en banque, mon carnet d’adresse, mes comptes réseaux sociaux et forums internet de quelqu’un qui met illégitimement la main sur mon smartphone.


votre avatar







le podoclaste a écrit :



Mais justement, la principale menace sur ma vie privée avec mon smartphone, c’est si quelqu’un le vole (ou le récupère après que je l’ai perdu, ou autres variantes de ce scénario). Le cryptage, c’est aussi (et même surtout) pour protéger mes mails, mon compte en banque, mon carnet d’adresse, mes comptes réseaux sociaux et forums internet de quelqu’un qui met illégitimement la main sur mon smartphone.





Alors c’est une mauvaise solution.


votre avatar

je ne pense pas qu’apple est incapable de déchiffrer cette clé, c’est eux qui en conçus l’OS alors ils ont surement une astuce pour contourner le probléme

votre avatar







A-D a écrit :



Ils n’ont pas moyen de booter sur autre système pour éviter la limite de 10 essais?



Ou alors lire la flash sur une autre machine et faire du brut force directement sur les données ? Certes c’est plus long que faire du brut force via les codes PIN mais ça reste faisable non?





Même question. Quelle sécurité évite le brute force une fois le matériel en main ?


votre avatar

En triffouillant dans les registres du proco / touchant la mémoire directement (physiquement), c’est toujours possible d’insérer ce qu’on veut. Faut être méga-calé ça je dis pas mais ils doivent avoir ça dans les bureaux quelque part. Un vieux barbu qui traine avec son BSD, sa bi*e, son sandwich meetballs et son couteau et qui attend que ça de faire de l’ASM à s’en dévisser la tête 12h/jour.



Quoiqu’il en soit, ils veulent juste que ça soit plus facile, mais ils savent déjà faire tout ça en vérité.



Et quelque part je suis bien content qu’une entreprise de cette taille leur fasse un gros fuck. Ça change de Google où c’est open-bar niveau données persos (aucun troll là dedans, juste la vérité et ils s’en sont jamais cachés d’ailleurs).

votre avatar







DotNerk a écrit :



Quand le seul moyen de déverrouiller un appareil sera l’empreinte digitale tout ceci sera de l’histoire ancienne. Un somnifère et hop on pose le doigt du méchant et zou le tour est joué <img data-src=" />





Ca revient à utiliser les torture/chantage pour te faire cracher le code pin :)



Ca fait partie du programme dr Trump. Il peut résoudre tous les problèmes ce p’tit gars.


votre avatar

Je pense que justement toute la sécurité réside dans ce nombre de tentatives.

Le code PIN en soi n’est pas une réelle sécurité. Un brut force suffit à le casser.

Donc j’imagine que Apple a mis le paquet (comment, je ne sais pas mais on peut imaginer un effacement des données en cas d’intrusion hardware par exemple) pour ne pas réussir à passer outre ce nombre de tentatives ou que ce ne soit pas efficace de le faire…

votre avatar

e





A-D a écrit :



Ils n’ont pas moyen de booter sur autre système pour éviter la limite de 10 essais?



Ou alors lire la flash sur une autre machine et faire du brut force directement sur les données ? Certes c’est plus long que faire du brut force via les codes PIN mais ça reste faisable non?







exact moi j’avais pensé qu’ils pouvaient simplement bloquer l’écriture …car à la fin c’est hardware!



je suis perplexe



ça me donne plus l’impression d’être une épreuve de bras de fer qui expliquerait le ton courroucé du

monsieur Cook


votre avatar







Lady Komandeman a écrit :



Je suis partagé.

D’un côté, c’est une très bonne nouvelle pour la protection des données.

De l’autre, ça ne me choquerait pas que dans le cadre d’une enquête judiciaire, on puisse déchiffrer un téléphone (mais pas à la volée avec juste des soupçons et sans enquête - je ne cautionne pas le renseignement à grande échelle).





Je le vois d’une certaine manière :

Une protection, c’est du tout ou rien. Dès lors qu’elle à une porte dérobé ou une clé universelle, elle n’est pas sûre, elle ne protège plus rien.

Pour souvenir, le “celebGate/fappening” serait en partie à l’origine dû à une possibilité de forcebruter le mot de passe des compte iCloud.



Du coup, non, un système protégé ne devrait pas avoir de portes dérobées, même pour les meilleurs raisons du monde. Là, le FBI, si ils veulent vraiment lire la mémoire de l’iPhone, il va falloir jouer avec le fer à souder et démonter la mémoire (et cela ne me choquerait moins qu’ils puissent demander à Apple la documentation technique).


votre avatar

Pendant ce temps, à la NSA, ils se marrent <img data-src=" />

votre avatar







gjdass a écrit :



(mais personne ne sait comment ils vont utiliser les données



Mais pas qu’EUX!

C’est le deuxième effet kisscool, si une faille existe il n’y a pas que les autorités qui l’utiliseront, il faut être lucides.



Donc non, ce serait ouvrir la porte à d’autres maux.

Si je ferme ma porte à clef, ce n’est pas pour protéger ma vie privée de la police mais de tous.

Faire une faille dans le coffre fort d’une banque car un terroriste pourrait y placer des preuves, même combat.


votre avatar







Mesc@lito a écrit :



Je pense que justement toute la sécurité réside dans ce nombre de tentatives.

Le code PIN en soi n’est pas une réelle sécurité. Un brut force suffit à le casser.

Donc j’imagine que Apple a mis le paquet (comment, je ne sais pas mais on peut imaginer un effacement des données en cas d’intrusion hardware par exemple) pour ne pas réussir à passer outre ce nombre de tentatives ou que ce ne soit pas efficace de le faire…





L’Iphone n’est pas doté de système anti-intrusion, ça je peux te l’assurer. On aurait des millions de plaintes pour déclenchement intempestif sinon <img data-src=" />



J’ai l’impression qu’ils ne font ça que pour la juriprudence…


votre avatar

Bah si c’est un dilemme.



Mettre une back-door par pays qui en fait la demande dans un téléphone, y’a rien d’impossible là dedans … Chiant, painfull et lourd, oui je dis pas. Mais rien d’impossible. Ou un backdoor unique “proxy” qui alimente une plateforme neutre et unique où les pays se servent ensuite … Enfin bref, c’est pas impossible à réaliser.



Ensuite pour l’utilisation du backdoor bah oui c’est comme ça depuis que le monde est monde, c’est un problème. Mais nos iPhone n’ont actuellement pas de back-door (selon Tim Cook du moins), c’est pas pour autant qu’ils sont full-sécurisé … Donc pour ce que ça changerait à ce niveau ^^

votre avatar

sur les clés, j’ai vu passer une discussion il y a pas longtemps (sur twitter, impossible à retrouver …) sur la différence entre l’obligation de fournir les clés d’une infra de chiffrement que tu gères pour des tiers, et la protection du suspect à ne pas s’incriminer soi-même dans le cas où tu mets en oeuvre toi même le chiffrement

mais ça reste théorique, faudrait tester <img data-src=" />

votre avatar

Et quoi? Une mini bombe qui saute dès qu’on ouvre le smartphone? Genre tu remplaces ta batterie et tu perds toutes tes infos!!



Vu le nombre d’iphone ouverts pour réparation ça me parait foireux

votre avatar

J’ai répondu la même chose plus haut, mais je vais le redire (bien que tu prêche un convaincu, je suis absoluement CONTRE cette idée de backdoor).



Ton iPhone aujourd’hui n’a pas de backdoor selon Tim Cook. Est-ce que ça le rend invulnérable pour autant ? Je ne crois pas. Donc une faille de plus ou de moins dans ton système ça changera pas grand chose faut être honnête. Des problèmes et des failles UNIX/Windows/Android/iOS/OSX on en découvre tous les jours. Y compris via ton simple navigateur internet.

Donc pour moi non c’est pas le “principal” argument. C’est pourquoi je ne l’ai pas écrit dans mon comm initial.

votre avatar

C’est que de la com à mon avis



A moins qu’il n’y ait un cryptage avec clé matérielle unique et inconnue derrière

Ils font une image de l’iphone, puis ils feront autant de tentatives PIN avec rollback que voulu jusqu’au bon code.



&nbsp;

votre avatar

Il y a des moyens empêchant l’intrusion dans un hardware en sa possession…



Typiquement les modules TPM qui stockent la clé de chiffrage et qui la détruise en cas d’intrusion (coupure d’un champ électrique du boitier, stockage de la clé en mémoire volatile qui s’efface si on dessoude la puce…)



Autant on peut essayer de contourner un mécanisme simple comme le PIN et de le brute-forcer dans son coin, mais si on perd la clé de chiffrage par un des mécanismes sus-cités c’est fini, il faudra une énergie formidable pour récupérer quoi que ce soit !

votre avatar
votre avatar

Je suis partagé.

D’un côté, c’est une très bonne nouvelle pour la protection des données.

De l’autre, ça ne me choquerait pas que dans le cadre d’une enquête judiciaire, on puisse déchiffrer un téléphone (mais pas à la volée avec juste des soupçons et sans enquête - je ne cautionne pas le renseignement à grande échelle).

votre avatar

Fallait en garder au moins un en vie, ça aurait pu les aider à trouver le code pin .



finalement iPhone c’est pas si mal niveau sécurité ; mais bon si on se fait prendre en état d’urgence ( qui a été prolongé jusque fin mai ) , c’est de l’obstruction à la justice donc on risque encore plus gros ? pareil aux USA j’imagine

votre avatar

On sent quand même que la révélation de PRISM leur a fait beaucoup de mal. Tant MS qu’Apple ou Google se montrent maintenant en défenseurs de la vie privée en espérant faire oublier ce passé peu glorieux.

votre avatar







Lady Komandeman a écrit :



Je suis partagé.

D’un côté, c’est une très bonne nouvelle pour la protection des données.

De l’autre, ça ne me choquerait pas que dans le cadre d’une enquête judiciaire, on puisse déchiffrer un téléphone (mais pas à la volée avec juste des soupçons et sans enquête - je ne cautionne pas le renseignement à grande échelle).





+1, tout pareil. C’est le genre de situation sur lequel on devrait pouvoir imaginer trouver des solutions au cas par cas.


votre avatar

Espérons que ça tienne…

Pour le FBI, il reste les logs des opérateurs, c’est déja pas mal de savoir ou, quand et avec qui vous avez echangé…

votre avatar







Elwyns a écrit :



Fallait en garder au moins un en vie, ça aurait pu les aider à trouver le code pin . 




 finalement iPhone c'est pas si mal niveau sécurité ; mais bon si on se fait prendre en état d'urgence ( qui a été prolongé jusque fin mai ) , c'est de l'obstruction à la justice donc on risque encore plus gros ? pareil aux USA j'imagine









 Non, en france comme aux US, tu n'as pas à aider les flics à te foutre en taule. Et l'état d'urgence ne change strictement rien, seul l'instauration de la loi martial (qui tient en une ligne : si t'as une arme tu fais ce que tu veux) le pourrait.    







Par contre, les tiers sont sensés aider les flics... Dans la limite du raisonnable.      


&nbsp;Est-ce raisonnable de faire sauter des sécurité ? Là est la question.

votre avatar

On est face à un dilemme qu’on pourra de toute façon pas résoudre.



Sécurité VS vie privée. Il n’y a pas de juste milieu en la matière. Soit on décide de dire oui à tout et on colle des back-doors partout au nom de la sainte sécurité interieure (mais personne ne sait comment ils vont utiliser les données ensuite au final, est-ce réellement pour la sécurité ?), soit on protège la vie privée au risque d’entraver la justice.



Quoiqu’il en soit, c’est du cinéma ce qu’il se passe entre le FBI et Apple dans cette affaire. Quand on voit la capacité de la NSA à tout écouter et tout surveiller, après Wikileaks et Snowden, qu’on vienne pas essayer de nous faire croire que le FBI ne peut pas déchiffrer un iPhone ou du moins en trouver la clé privée en brut-forcant à l’aide d’un super-calculateur NSA-ien … On est cons mais pas à ce point :)

votre avatar

Faut pas oublier que la sécurité sur les appareils a été augmentée surtout parce qu’il n’était pas possible de faire confiance au gouvernement



Alors comme dit plus haut : je suis partagé ,

Mais d’un autre côté essayer de me faire croire que juré craché ils ne s’en serviront que sur 1 seul appareil



euh …. comment dire


votre avatar

oui et non.

disons qu’on ne peut pas exiger de toi que tu t’exprime (plus depuis seulement quelques années en France).

mais par contre si tu ne fais pas certaines choses tu es condamnable.

typiquement: refus de prélèvement d’ADN, ou refus de donner des clés de déchiffrement.

votre avatar







Lady Komandeman a écrit :



Je suis partagé.

D’un côté, c’est une très bonne nouvelle pour la protection des données.

De l’autre, ça ne me choquerait pas que dans le cadre d’une enquête judiciaire, on puisse déchiffrer un téléphone (mais pas à la volée avec juste des soupçons et sans enquête - je ne cautionne pas le renseignement à grande échelle).





+1

Si assurer la vie privé de tout le monde entraine plus d’inconvénients au final car on est allé jusqu’au boutisme sans réfléchir à s’adapter à toutes les situations ce n’est pas une bonne chose.



Lutter contre les dérives des sociétés qui nous fliquent c’est une bonne chose, empêcher la justice de faire son travail, c’est une mauvaise chose. C’est pour cela qu’il faut trouver un juste équilibre et pas certain que le message d’apple aille dans ce sens.


votre avatar

Justement, il indiqué que la force brute ne marche pas, car l’iPhone se bloque après 10 tentatives.

votre avatar

Mais du coup les fabricants doivent concevoir une porte dérobée pour les cas litigieux on en revient au même problème…



Et je me méfie de ce que le FBI veut, ils peuvent dire ce qu’ils veulent en info dés qu’il y’a accés physique à une machine l’inviolabilité n’existe plus…

votre avatar

&nbsp;justement ce qu’ils demandent à Apple c’est de lever la limite du nombre de tentatives pour pouvoir faire du bruteforce. ^^

votre avatar

non mais y’a pas de juste milieu:

soit les données sont sécu, soit elles ne le sont pas.

on ne peut pas faire de sécu juste contre les méchants.

votre avatar

Autant pour moi. Je suis un gros débile.



Anyway, c’est de l’informatique ;) En triffouillant un peu les petits gars y arriveraient de toute façon, ça ne change pas ma façon de penser sur le sujet.

votre avatar

+1

votre avatar

Un couteau qui coupe la viande mais ne tue pas les gens…

votre avatar

c’est clair un accès physique à l’appareil change tout j’ai du mal à croire que ça les bloque à ce point d’exiger un backdoor spéciale FBI

votre avatar

en cherchant bien ils vont peut-être trouver une faille de sécu sur l’iphone en question.

ou pas. ^^

votre avatar

Il ne faut pas voir le débat uniquement d’un point de vue vie privée VS sécurité.



La vie privée, c’est aussi un garant de la sécurité, car il est nécessaire que les opinions personnelles puissent s’exercer sans aucune pression, spécialement dans les pays où les agences gouvernementales de renseignement et autres ont des budget collossaux.

Également, le secret des correspondances est essentiel pour certains métiers. Et si l’on commence à mettre des portes dérobées, on peut être sûr qu’elles serviront, et pas que pour les agences gouvernementales, et pas que pour les tueries.

votre avatar







gjdass a écrit :



On est face à un dilemme qu’on pourra de toute façon pas résoudre.



Sécurité VS vie privée. Il n’y a pas de juste milieu en la matière. Soit on décide de dire oui à tout et on colle des back-doors partout au nom de la sainte sécurité interieure (mais personne ne sait comment ils vont utiliser les données ensuite au final, est-ce réellement pour la sécurité ?), soit on protège la vie privée au risque d’entraver la justice.



Quoiqu’il en soit, c’est du cinéma ce qu’il se passe entre le FBI et Apple dans cette affaire. Quand on voit la capacité de la NSA à tout écouter et tout surveiller, après Wikileaks et Snowden, qu’on vienne pas essayer de nous faire croire que le FBI ne peut pas déchiffrer un iPhone ou du moins en trouver la clé privée en brut-forcant à l’aide d’un super-calculateur NSA-ien … On est cons mais pas à ce point :)





Ce n’est pas tant un dilemme que ça : le simple fait de mettre une porte dérobé partout, c’est bien joli, mais le jour ou un petit malin autre que le gouvernement trouve comment accéder à la backdoor, c’est la porte ouverte (<img data-src=" />) à tout. Mais surtout , comment fait-on?

Les USA papa bien veillant du monde impose sa backdoor? OK quid des autres pays? les USA donne accès à la backdoor à tout les autres états multiplant ainsi grandement le nombre de personne sachant comment y accéder et donc plus de risque de fuite d’info sur cette backdoor

On multiplie les backdoor&nbsp; suivant les désidérata de chacun en multipliant les failles de sécurité? pas très crédible…

Quel que soit l’approche choisie la backdoor est une mauvaise idée…

&nbsp;

&nbsp;

&nbsp;


votre avatar

Ils n’ont pas moyen de booter sur autre système pour éviter la limite de 10 essais?



Ou alors lire la flash sur une autre machine et faire du brut force directement sur les données ? Certes c’est plus long que faire du brut force via les codes PIN mais ça reste faisable non?

votre avatar







hellmut a écrit :



oui et non.

disons qu’on ne peut pas exiger de toi que tu t’exprime (plus depuis seulement quelques années en France).

mais par contre si tu ne fais pas certaines choses tu es condamnable.

typiquement: refus de prélèvement d’ADN, ou refus de donner des clés de déchiffrement.





Une refus prélèvement d’ADN est comdanable effectivement, maintenant tu ne “donnes” rien… Si ils veulent prélever ton ADN à ton insue, ils peuvent le faire très facilement. C’est purement “légaliste” ce truc. Ils auront ton ADN mais ne pourront s’en servir au tribunal. Mais ils l’auront.



Par contre, “donner des clés de chiffrement” n’est en rien contraint. Si tu le fait pas ils peuvent rien contre toi. Y a aucune loi qui t’y oblige, si tu ne veut pas les dire/écrire, tu ne le fait pas, aucun soucis de ce coté (ou alors donne moi l’article…).


votre avatar

Quand le seul moyen de déverrouiller un appareil sera l’empreinte digitale tout ceci sera de l’histoire ancienne. Un somnifère et hop on pose le doigt du méchant et zou le tour est joué <img data-src=" />

votre avatar

Si c’est le code pin qui gêne qu’ils essayent de changer le touch id…

votre avatar







Bejarid a écrit :



Même question. Quelle sécurité évite le brute force une fois le matériel en main ?







Le plus grand algorithme de sécurité de tous les temps : “la toute puissante flemme” ?



A part ça je vois pas… <img data-src=" />



D’autant plus que les combinaisons sont super limitées :





(…) existe de fait 10 000 combinaisons possibles.





Soit un tout petit brute force de rien du tout…



Ce serait étonnant que le FBI (ou toute autre mastodone policier étatsunien) ne soit pas en mesure d’émuler/virtualiser un iOS…



Curieuse cette affaire !!!


votre avatar

C’est clair.



Enfin non, ils se marrent pas, ils déchiffrent 10 iPhones à la milli-seconde pendant ce temps là.

votre avatar

oui effectivement, il pourrait y avoir une différence d’application de la loi entre le chiffrement pour soi ou le chiffrement pour autrui. mais aujourd’hui aucune diff dans les textes.

votre avatar

Y peuvent pas, c’est un iPhone 5C donc sans lecteur d’empreinte.

votre avatar

C’est pas la même chose, parce qu’une faille peut être corrigée. Alors qu’une backdoor, si t’en a besoin ou que t’es obligé d’en mettre, ben tu peux pas la « corriger »…

votre avatar

Sur une news qui traitait du même sujet, MisterB avait donné le lien de la doc Apple officielle sur la sécurité de iOS. Et c’est un poil plus rusé que “code PIN = clé de chiffrement” (avec si je me souviens bien 2 clés matérielles entrant en jeu). On peut certainement tenter de brute-forcer une image du téléphone ou directement la mémoire flash, mais ça prendra plus de 1000 essais.

votre avatar

On peut mettre une faille dans la backdoor pour la bloquer <img data-src=" />

votre avatar

Hum; ils ont essayé de placer le doigt du machabée sur le capteur?



&nbsp;



Edit











AxelTerizaki a écrit :



Y peuvent pas, c’est un iPhone 5C donc sans lecteur d’empreinte.&nbsp;







Merci&nbsp;<img data-src=" />


votre avatar







gjdass a écrit :



Ensuite pour l’utilisation du backdoor bah oui c’est comme ça depuis que le monde est monde, c’est un problème. Mais nos iPhone n’ont actuellement pas de back-door (selon Tim Cook du moins), c’est pas pour autant qu’ils sont full-sécurisé … Donc pour ce que ça changerait à ce niveau ^^





Si ça change puisque ça augmente le niveau d’exposition. Et dans ce cas, on ne parle pas d’un sombre hack html/js qui marche uniquement sur une version d’iOS sur un certain navigateur… mais d’un truc qui potentiellement donne accès a toutes les machines de la même manière.


votre avatar

Sachant que sur iOS, au bout de plusieurs essais infructueux, le délai d’attente entre les essai passe à 24h.



Donc 24h x 10000, ça en fait des jours à attendre pour voir la fin du Brute-force :)



(Et puis là la limite des 10 mdp avant effacement est toujours présente).

votre avatar

mais ça c’est le flingage du système de crypto de la clé etc …



Mais les données sont toujours la non ?



c’est une question

<img data-src=" />


votre avatar

Je n’ai aucune notion dans le domaine de la sécurité mais… c’est être parano de voir la dedans de la com et de se dire qu’au fond ils pourraient largement trouver une solution à leur soucis sans demander l’aide d’Apple… ou en tout cas trouver relativement facilement un plan B maintenant que Apple a refusé ?



L’effet que ça me laisse c’est que ça laisse Apple jouer (un peu) au chevalier blanc de la sécurité des données de ses utilisateurs.



En face il y a tout de même de petites boites comme la NSA qui a certainement dans ses effectifs des personnes relativement douées sur le sujet…



Je trouve tout ça un peu aberrant comme situation et j’ai l’impression qu’il y a autant de mauvaise fois du côté autorités que de celui d’Apple.



Je répète, je n’ai pas de notion poussée dans ce domaine mais pour le coup ça me semble juste très bancal comme situation.

votre avatar







Xiongxiong_zen a écrit :



Je n’ai aucune notion dans le domaine de la sécurité mais… c’est être parano de voir la dedans de la com et de se dire qu’au fond ils pourraient largement trouver une solution à leur soucis sans demander l’aide d’Apple… ou en tout cas trouver relativement facilement un plan B maintenant que Apple a refusé ?



L’effet que ça me laisse c’est que ça laisse Apple jouer (un peu) au chevalier blanc de la sécurité des données de ses utilisateurs.



En face il y a tout de même de petites boites comme la NSA qui a certainement dans ses effectifs des personnes relativement douées sur le sujet…



Je trouve tout ça un peu aberrant comme situation et j’ai l’impression qu’il y a autant de mauvaise fois du côté autorités que de celui d’Apple.



Je répète, je n’ai pas de notion poussée dans ce domaine mais pour le coup ça me semble juste très bancal comme situation.





Tout n’est que communication. Bien sûr, la NSA a sans aucun doute les moyens de déchiffrer / contourner / espionner, mais il est alors difficile de prétendre devant un tribunal que “le tél a été déchiffré par enchantement, il n’existe évidemment aucune solution généralisable pour ça”.


votre avatar

Le code pénal prévoient pourtant des sanctions :&nbsp;

“Est puni de trois ans d’emprisonnement et de 45 000 euros d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre […]”

&nbsp;legifrance.gouv.fr République Française

votre avatar

Des données “bien chiffrés” dont la clé a été détruite/perdu sont virtuellement perdue … si il faut 5000 ans pour récupérer les données, virtuellement elles ne sont pas récupérable <img data-src=" />

votre avatar







gjdass a écrit :



J’ai répondu la même chose plus haut, mais je vais le redire (bien que tu prêche un convaincu, je suis absoluement CONTRE cette idée de backdoor).



Ton iPhone aujourd’hui n’a pas de backdoor selon Tim Cook. Est-ce que ça le rend invulnérable pour autant ? Je ne crois pas. Donc une faille de plus ou de moins dans ton système ça changera pas grand chose faut être honnête. Des problèmes et des failles UNIX/Windows/Android/iOS/OSX on en découvre tous les jours. Y compris via ton simple navigateur internet.

Donc pour moi non c’est pas le “principal” argument. C’est pourquoi je ne l’ai pas écrit dans mon comm initial.







Une faille n’est pas documentée, alors qu’une backdoor l’est. C’est finalement bien plus dangereux qu’une faille:




  • Il peux y avoir des fuites,

  • Les sociétés de sécurités sont sensées fermer les yeux,

  • du coup il est difficile de savoir si la backdoor est exploitée à mauvaise escient ou par un tiers “non autorisé”

  • Et s’il y a une faille dans la backdoor ?


votre avatar







Olbatar a écrit :



Un dump de la mémoire + brute force pourrait peu être en venir à bout…mais ça risque d’être long…très long!







Je me suis posé la même question. Pourquoi ne pas dump la mémoire et l’émuler en VM et brute force les codes … ? Comme ça on ne touche pas à l’Iphone originale.



Ya vraiment un truc que je pige pas là quand même, vu le budget du FBI, ça ne devrait pas être un problème.


votre avatar

Parce que ce n’est pas possible de lire la puce de l’iPhone sans le mdp.



Le contrôleur qui gère la flash et le chiffrement est directement intégré avec la mémoire de masse, chaque opération de lecture ou d’écriture demande le mdp.

votre avatar

Si on écrit un message chiffré sur une feuille de papier on appel Clairefontaine à la rescousse ? ou Waterman ?

votre avatar

Je pense que l’analogie avec un journal intime possédant un cadenas serait plus approprié ou le fabricant du coffre dans le lequel le journal intime est rangé <img data-src=" />

votre avatar

Code pénal : « … sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale. »

Maitre Eolas : « Ne s’applique qu’à des tiers (c’est sur réquisition, vous ne pouvez pas requérir le gardé à vue). »

votre avatar







Schumi a écrit :



Ça me fait penser au jeune de 18 ans dans l’histoire des fausses alertes dans les lycées : il a pas été mis en examen pour son implication mais pour avoir refusé de donner la clé de chiffrement de son PC





Source ?



C’est très probablement faux.


votre avatar







Mihashi a écrit :



Code pénal : « … sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale. »

Maitre Eolas : « Ne s’applique qu’à des tiers (c’est sur réquisition, vous ne pouvez pas requérir le gardé à vue). »





De manière plus général (sans remettre en cause la précision linguistique de ME), on a le droit de garder son mdp de la même façon qu’on a le droit de garder le silence.



Le seul truc qui peut se passer, c’est si t’héberge des mails à quelqu’un d’autre mis en cause, les flics peuvent te demander copie de ses mails, via réquisition (donc via juge). Par contre, le MdP et le système, t’es sensé les garder pour toi.



Si c’est toi qui est mit en cause,&nbsp;ils peuvent saisir le système (disques durs…) mais pas le MdP (donc ils doivent craquer le système eux-mêmes, ou via l’aide du constructeur).


votre avatar







domFreedom a écrit :



Ca a déjà été suggéré, mais c’est ballot qu’ils n’aient pas eu un modèle 5S ou supérieur :

le FBI n’aurait eu qu’à couper leurs vingt doigts un par un et les valider par TouchID, ça aurait fait moins de combinaisons… <img data-src=" />







Non parce que passer 48h sans dévérouillage il faut taper le code ^^.

Et il faut créer pour touchid le profil de chaque doigt :)


votre avatar







Jarodd a écrit :



Ben non, justement. Une « solution au cas par cas » peut être exploitée par un malveillant, donc il n’y a plus de sécurité. Sur ce sujet c’est tout ou rien, soit on laisse la porte ouverte, soit on la verrouille, pas de demie-mesure.





Je comprends ton point de vue, mais je reste dans le doute. Du coup, je tente une analogie foireuse ^^

Dans le cas d’une enquête, la police peut perquisitionner un logement après en avoir enfoncé la porte et en respectant toute une procédure. Mais on peut se dire que si la police a les moyens de défoncer la porte, d’autres peuvent le faire aussi et dans ce cas on peut considérer ça comme une “backdoor” dans l’appartement et on ne doit plus vendre à l’avenir que des portes blindées.

En d’autres termes, et ma question est sérieuse, j’ignore tout en termes de sécurité informatique : une boite info n’a pas les moyens, sur des appareils et des OS qu’elle développe elle-même, de garder la main sur un appareil sur réquisition judiciaire ? On ne peut imaginer qu’avec moult contrôles, Apple (ou Google, ou MS, bref le fabricant) puisse reprendre la main sur un de ses appareil pour en extraire les données ? On voit au travers des commentaires que l’iPhone a tout un tas de sécurités (blocage au bout de 10 tentatives de code PIN, suppression auto des données, observation du délai d’utilisation de TouchId avant de redemander le mot de passe, etc.), on ne sait pas combiner ces sécurités pour que la boite, au cas par cas, puisse déverrouiller un appareil sans qu’un extérieur n’intervienne ?


votre avatar

La batterie est à l’intérieur du smartphone et peu facilement accessible (il faut des outils)? Donc c’est prendre un risque d’effacer la mémoire du téléphone ou la clé de cryptage non?



&nbsp; C’était juste un exemple pour illustrer le fait que le genre de sécurité auquel je répondait n’est pas faile à mettre en oeuvre si on permet aussi la réparation du device.

votre avatar







Mihashi a écrit :



C’est pas la même chose, parce qu’une faille peut être corrigée. Alors qu’une backdoor, si t’en a besoin ou que t’es obligé d’en mettre, ben tu peux pas la « corriger »…





+1

faille &lt;&gt; backdoor


votre avatar

Oui c’est très long, mais vu la capacité de calculs qu’ont les agences gouvernementales aujourd’hui il reste envisageable d’utiliser beaucoup de ressources sur peu d’affaire mais qui en vaille le coup.

votre avatar

Un commentaire plus haut disais qu’il n’y avait aucune jurisprudence de cette situation.&nbsp;

Sans ça, je considère que l’article que j’ai cité s’applique.

Franchement, entre donner son mot de passe ou devoir faire appel à la court européenne des droits de l’homme pour éviter une condamnation à de la prison, je pense que donner le mot de passe est moins risqué.&nbsp;





&nbsp;

votre avatar

Ça dépend ce que tu risques en donnant ton mot de passe. Si tu risques plus qu’en ne le donnant pas, cela vaut le coup.



Une autre façon de voir les choses, c’est qu’il faut bien un premier pour la jurisprudence et qu’il peut être important de prendre ce risque pour le bien de tous.



Remarque : le premier point est peut-être celui qui permettra la jurisprudence.

votre avatar







seblutfr a écrit :



Je comprends ton point de vue, mais je reste dans le doute. Du coup, je tente une analogie foireuse ^^

Dans le cas d’une enquête, la police peut perquisitionner un logement après en avoir enfoncé la porte et en respectant toute une procédure. Mais on peut se dire que si la police a les moyens de défoncer la porte, d’autres peuvent le faire aussi et dans ce cas on peut considérer ça comme une “backdoor” dans l’appartement et on ne doit plus vendre à l’avenir que des portes blindées.





Ton analogie n’est pas bonne, ils n’ont pas besoin du constructeur pour forcer la porte.

Une meilleure analogie serait que les autorité ont un passe-partout et tous les constructeurs de serrure doivent respecter ce pass. Avec les même inconvénient qu’une backdoor : le pass sera vite dans la nature et n’importe qui pourra ouvrir n’importe qu’elle porte…


votre avatar
votre avatar







blackdream a écrit :



Mais dans tous les cas, le décryptage se fera en force brute, qui n’est envisageable uniquement parce que la clef est basé sur un code pin avec uniquement 4 chiffres.&nbsp;





Pour le code de déverrouillage de l’iPhone, tu peux mettre la longueur et les caractères que tu veux sans te limiter a 4Chiffres.


votre avatar

Non, ils peuvent accéder aux données crytpées mais ne pourront rien lire. Et déchiffrer ces données cryptées c’est aujourd’hui impossible… enfin pas impossible mais extrêmement long (très très long) avec les technologies d’aujourd’hui. &nbsp;Il faut en fait essayer toutes les possibilités sur le chiffrement.



C’est aussi pour ça que Google veut avancer sur son ordinateur quantique pour ouvrir les chiffrements RSA.



Pour moi, c’est une bonne chose qu’Apple prend au sérieux la sécurité de ses utilisateurs.

votre avatar

Oui tu peux toujours faire du bruteforce, mais enfin quand tu passes par des outils comme truecrypt, en général tu sais ce qu’il faut mettre dans ton mot de passe pour le rendre trop complexe à trouver par force brute.&nbsp;

C’est ce que j’entendais par “clef forte”.&nbsp;



Du coup je le redis, l’accès physique à la machine n’est pas une faille en soit dans le cas d’une partition truecrypt. Par contre, un mot de passe faible, oui ça c’est une faille dans la sécurité.&nbsp;



&nbsp;

votre avatar

De memoire tout est chiffré si

votre avatar

Non mais une puce NAND avec chiffrement ça se copie pas sans le mot de passe justement, qui est stockée en dur dans le contrôleur intégré à la mémoire.



S’il suffisait juste de faire du chip-off et de copier le truc avec un lecteur à 30€ chez Alibaba, on aurait pas cette news.

votre avatar

Et tu demandes aux criminelles de mettre la version de l’OS spécial FBI avant de commettre un crime ?

votre avatar

J’ai pas d’iphone donc je connais pas plus que ça le sujet, mais la news parle bien du code pin pour décrypter :&nbsp;

&nbsp;

“La principale difficulté à laquelle fait face le FBI est de passer l’étape du code PIN. Il est possible de tenter un maximum de dix fois sa chance avant que l’appareil ne se verrouille complètement. Farook a peut-être même activé l’option permettant d’effacer tout le contenu du smartphone en cas de dixième échec. Les enquêteurs ne peuvent donc pas risquer de pousser leur chance à ce point, d’autant qu’il existe de fait 10&nbsp;000 combinaisons possibles.&nbsp;”

votre avatar

Pourrais-tu éclairer ma lanterne et me montrer en quoi cet article ne s’applique qu’à des tiers?

désolé hein, mais j’ai beau le relire en long, en large et en travers, j’arrive pas à trouver.

votre avatar







blackdream a écrit :



J’ai pas d’iphone donc je connais pas plus que ça le sujet, mais la news parle bien du code pin pour décrypter : 

 

“La principale difficulté à laquelle fait face le FBI est de passer l’étape du code PIN. Il est possible de tenter un maximum de dix fois sa chance avant que l’appareil ne se verrouille complètement. Farook a peut-être même activé l’option permettant d’effacer tout le contenu du smartphone en cas de dixième échec. Les enquêteurs ne peuvent donc pas risquer de pousser leur chance à ce point, d’autant qu’il existe de fait 10 000 combinaisons possibles. ”





Pas Pin lié a la SIM, plus un code de sécurité pour déverrouiller l’appareil



Tout en sachant que tu as le 4 chiffre de base, mais depuis iOS Apple pousse a utiliser un plus long, voir un alphanumérique.



Et là amuse toi si le mot de passe est coton <img data-src=" />


votre avatar

USA pays ou un Teléphone devient dangereux et qui pourtant te laisse acheter des armes de combat sans aucuns problèmes <img data-src=" /><img data-src=" /><img data-src=" />

votre avatar

Un dump de la mémoire + brute force pourrait peu être en venir à bout…mais ça risque d’être long…très long!

votre avatar

mais le droit à ne pas temoigner contre soi releve d’un droit supérieur, constitution + DH europe

votre avatar

Imposer des backdoors est à peu près équivalent à envoyer directement tout ses données à la police et être directement considéré comme terroriste dès qu’on arrête de le faire. C’est ça que vous voulez ?

&nbsp;Il n’y a pas de « Non mais faut un chiffrement où les gentils policiers peuvent récupérer les données des méchants terroristes »



Et des outils de chiffrement incassables (dans un temps raisonnable) et sans backdoor ça existe déjà et interdire le chiffrement n’empêchera jamais les terroristes de l’utiliser (vaut mieux directement interdire le terrorisme ^^).

votre avatar

Solution :

ils démontent la mémoire flash et en font une copie, ensuite ils peuvent essayer de décrypter en brute force autant qu’ils le souhaitent.



&nbsp;Apple pourrait les aider car ça nécessiterait tellement de moyens que ça ne serais utilisé qu’en derniers recours et exceptionnellement (contre “les méchants” donc), et pas pour faire de la surveillance de masse.



Selon moi un “backdoor” qui nécessite de démonter l’appareil et de dessouder des composants,&nbsp; c’est pas mal sécuritaire quand même. c’est pas un pirate qui va faire ça.

votre avatar







neojack a écrit :



Solution :

ils démontent la mémoire flash et en font une copie, ensuite ils peuvent essayer de décrypter en brute force autant qu’ils le souhaitent.



&nbsp;Apple pourrait les aider car ça nécessiterait tellement de moyens que ça ne serais utilisé qu’en derniers recours et exceptionnellement (contre “les méchants” donc), et pas pour faire de la surveillance de masse.



Selon moi un “backdoor” qui nécessite de démonter l’appareil et de dessouder des composants,&nbsp; c’est pas mal sécuritaire quand même. c’est pas un pirate qui va faire ça.







Pas besoin d’Apple, les chinois le font déjà pour upgrader la mémoire des iphones:



http://bgr.com/2015/11/04/16gb-iphone-6s-memory-upgrade/



Et avec les moyens a dispositions de la nsa il ne me paraît pas si deconnant d’envisager un décryptage par brute force vu les exploits en terme de hack mis en oeuvre récemment par la nsa…


votre avatar







linkin623 a écrit :



Dangereux extrémiste ! <img data-src=" />



Dire des chose vraies et censées, en remettant les vaches au milieu du pré, c’est maintenant être déviant.



Reprends les éléments de langages du gouvernement, qui oppose ce qui ne s’oppose pas, qui parle d’hyperterrorisme, et les moutons seront bien gardés. Mais au fait, quels moutons ?



/trop de métaphores agricoles <img data-src=" />





Non, ça va, c’est plutôt dans le sujet, on se rend compte ces derniers jour que le milieu agricole est rempli de terroristes perpétrant des attaques chimiques <img data-src=" />



Avec comme sanction une déchéance fiscale <img data-src=" />


votre avatar

Merci pour cet article assez intéressant !



Je suis curieux de voir la suite …

votre avatar







Bejarid a écrit :



Même question. Quelle sécurité évite le brute force une fois le matériel en main ?







Une clé de stockage accessible via un contrôleur, le tout dans de l’epoxy.


votre avatar







ForceRouge a écrit :



Une clé de stockage accessible via un contrôleur, le tout dans de l’epoxy.







Ou plutôt une zone mémoire d’un contrôleur accessible uniquement via ce controleur


votre avatar

Ben non, justement. Une « solution au cas par cas » peut être exploitée par un malveillant, donc il n’y a plus de sécurité. Sur ce sujet c’est tout ou rien, soit on laisse la porte ouverte, soit on la verrouille, pas de demie-mesure.

votre avatar

Ca a déjà été suggéré, mais c’est ballot qu’ils n’aient pas eu un modèle 5S ou supérieur :

le FBI n’aurait eu qu’à couper leurs vingt doigts un par un et les valider par TouchID, ça aurait fait moins de combinaisons… <img data-src=" />

votre avatar

C’est un peu “osé” de la part d’Apple dans le sens ou ça se joue entre le “on peut/veut pas aider le FBI” pour des questions de confidentialité de nos clients et le “on veut pas donner l’impression d’aider les méchants”.



A voir comment les américains vont réagir vis-à-vis d’Apple sur cette question de la sécurité du territoire et si finalement pour la majorité ça ne prévaut pas sur la sécurité/confidentialité des utilisateurs.



Si ça va dans ce sens, les autorités pourraient avoir un “argument” pour leur envie d’accéder à tout et rien en mettant en avant que le peuple veut se sentir en sécurité quel qu’en soit le prix.

votre avatar

Euh, si ça intéresse quelqu’un, j’ai le code PIN de l’iPhone 5C utilisé par les terros de SB : 255248 <img data-src=" />



Vous avez 10 minutes… <img data-src=" />

votre avatar

ptain si le FBI tape ça et que ça passe … t’es mal

<img data-src=" />

votre avatar







JoePike a écrit :



ptain si le FBI tape ça et que ça passe … t’es mal

<img data-src=" />







C’est vraiment des noobs, au FBI…

Quand on a pour devise “In God we trust”, c’était évident ! <img data-src=" />


votre avatar

Bruit pop corn&nbsp;&nbsp; Un bon film, y sont fort à Hollywood, hâte de voir le 2 (google vs cia) et le 3 (windows vs nsa)&nbsp; <img data-src=" />

votre avatar

Je comprends pas, il y a souvent des mise à jour de sécurité pour éviter de bypasser l’écran de verrouillage, suffit d’attendre la prochaine MAJ d’Apple <img data-src=" />

votre avatar

ils n’ont qu’à faire appel à un médium pour interroger les suspects.

Si ils ne parlent pas assez vite, un bon coup d’annuaire de l’au-delà sur le crane devrait leur délier la langue.

(en effet comme depuis les débuts de l’humanité il y a eu un bon paquet de morts, l’annuaire de l’au-delà doit être sacrément épais … et ça doit faire mal, même à un fantôme)



Sinon, un voyant avec son pendule devrait pouvoir les aider à trouver le bon code.

votre avatar

À se demander comment les enquêtes se passaient avant l’arrivée des smartphones !!!!!

votre avatar







DotNerk a écrit :



Je comprends pas, il y a souvent des mise à jour de sécurité pour éviter de bypasser l’écran de verrouillage, suffit d’attendre la prochaine MAJ d’Apple <img data-src=" />







<img data-src=" />



Comme c’est vilain ! Bouh ! <img data-src=" />



C’est ballot de n’avoir pas vu l’info sur Arts Technica

Ils auraient accès à toutes les infos recherchées pour l’enquête (contacts, photos) <img data-src=" />



Bon, d’abord, va falloir qu’ils se payent un Premium sur NXi pour poursuivre leurs investigations… <img data-src=" /><img data-src=" />


votre avatar

<img data-src=" />

votre avatar

Ça me fait penser au jeune de 18 ans dans l’histoire des fausses alertes dans les lycées : il a pas été mis en examen pour son implication mais pour avoir refusé de donner la clé de chiffrement de son PC

votre avatar

roh, on peut pas supprimer un message ? Me suis chier dans ma réponse…&nbsp;

votre avatar

Et il peuvent pas le démonter? C’est le FBI quand meme, ils doivent quand meme pouvoir extraire la partie morte..

votre avatar

C’est pas facile effectivement mais pas irréaliste ;)

C’est surtout que ça coûte cher et peu pertinent compte tenu des utilisateurs de ces produits <img data-src=" />

votre avatar

Démonter la puce mémoire est facile mais ça ne règle pas le problème vu que le contrôleur est intégré dans la puce mémoire.



Tu n’as pas un composant qui gère le chiffrement et la puce mémoire qui contient les données à côté, tout est dans le même monolithe.

votre avatar

Bah tu démonte le contrôler. Ils ont quand meme pas gravé la secu devant les nand. Et même si, sont bien quelque part ces 1 et ces 0, et on sait s’y connecter pour les lire.

On parlerait de la police francaise, ok, mais la, le FBI quand meme

votre avatar

suffit de regarder les pass facteurs dans les immeubles.

à l’origine on a une porte avec une serrure, chacun a une clé, histoire que seuls les habitants puissent entrer.



ah ouais mais non, comment on fait avec les facteurs? on va quand même pas leur filer une clé de chaque immeuble!

LA bonne idée, c’est que les facteurs aient un passe-partout, comme ça avec UNE clé, ils entrent dans tous les immeubles! hahaha!



résultat: tout le monde a le passe facteur, n’importe qui peut entrer dans n’importe quel immeuble.

sécurisation =&gt; 0

sentiment de sécurité =&gt; 100



du moment que les gens se SENTENT en sécurité, le reste c’est de la littérature.

votre avatar

Question:



Il est pas possible de demonter le telephone, et acceder a la memoir en direct sans passer par IOS et faire les 10 000 tentatives avec un systeme autre que celui du tel? Apple connait l’algo et comment est integrer le code PIN dedans.

Ou acceder a la memoire en direct, et faire de multiples copies, et essayer 10 fois sur chaque copies?

&nbsp;

Je suis trop naif?

votre avatar

Pour le sentiment de sécurité faudra repasser, dans la plupart des immeubles que je connais il y a des portes blindées pour les appartements…

votre avatar

Quelle mascarade.

On ne va pas me faire croire que depuis les révélations de Snowden, les USA aient renoncés à leur désir impérieux de renseignement.

Alors quoi ? Un illimité crie au scandale depuis la Russie, et ca y est, on déboulonne la NSA ? les équipements réseaux et les systèmes d’exploitation sont sûrs et garantis sans backdoors ?

Ce serait croire au monde des bisounours.

A quoi servent ces milliards de $ dépensés chaque année dans les agences de renseignement ?



C’est juste un écran de fumée pour dire, vous voyez cher client comme notre système et fiable et qu’on tient à vos données&nbsp; ! Nous tenons les agences gouvernementales en echec !

Nul doute que lorsque des intérêts géopolitiques ou que la sureté nationale sont en jeu…

Je doute même de la réelle incapacité du FBI à casser la sécurité de la pomme.

L’important n’est pas là mais que l’on s’en fasse écho auprès des clients surtout auprès des pays “amis” comme la France.



La NSA doit bien se poiler.

votre avatar

Nan, tu ne PEUX PAS désolidariser le contrôleur de la mémoire de masse….

votre avatar







cyrano2 a écrit :



C’est comme si l’état demandait un fabricant de porte&nbsp;bagage de leur donner une clef qui ouvre toutes les portes&nbsp;bagages.&nbsp;





TSA lock.


votre avatar

Et… pourquoi ? Ca a été assemblé, je vois pas par quelle magie ca pourrait pas être défait. J’ai pas dis que ça serait simple, mais une foi de plus, je pars du principe que FBI = moyens illimités.

votre avatar

J’ai l’impression de parler chinois là quand même….



Le Contrôleur et la Mémoire sont dans le même composant.



Tu peux pas extraire d’une puce toutes les couches de transistors pour choisir ce que tu veux.

votre avatar







Pochi a écrit :



TSA lock.





La fameuse clef de bagage universel qui s’est fait copier ?http://www.01net.com/actualites/envie-d-ouvrir-des-bagages-d-avion-imprimez-vous…


votre avatar

&nbsp;ah, ils ont pris en compte le fait que l’entrée de l’immeuble n’est pas sécu, donc. ^^

votre avatar

A moins qu’en chinois “tu peux pas” soit une phrase complète et argumenté, chépa…

&nbsp;

Peut importe l’intégration du machin, les donnée sont forcément séparé de ce qui permet de les lire. Même si la découpe est plus que chirurgical, je ne vois pas comment elle pourrait être impossible.&nbsp;

&nbsp;

De plus, si une update software pour retirer l’anti ddos est envisageable, c’est donc que la sécurité est une couche au dessus, et donc qu’ils ont qu’a prendre la puce et la brute forcer…



La seule raison qui me laisse a penser qu’ils le font pas, c’est que le jeu en vaudrait pas la chandelle, et que ca peut laisser croire qu’ils n’ont vraiment pas les moyen.

votre avatar

Et peut-être bien qu’ils n’en ont pas les moyens. Les transistors d’une telle puce ne font que quelques nanomètres, c’est bien au-delà de l’opération chirurgicale en terme de précision. Rien qu’ouvrir la puce pour exposer la couche de silice doit difficilement se faire sans endommager le composant.

votre avatar

entre “je peux pas” et “j’ai pas les moyens”, c’est un peu la même chose, non?<img data-src=" />

votre avatar

Alors, non, physiquement, on ne peut pas séparer des couches de transistors d’une autre sans en détruire d’autres.



&nbsp;Ensuite, je vais essayer de vulgariser alors pour faire comprendre.



Essaye plutôt d’imaginer qu’à la place d’avoir un contrôleur ET un emplacement mémoire distinct, tu as un gros contrôleur (qui en plus chiffre les données) qui possède en lui même une zone de mémoire (qui en l’occurrence peut faire 128Go).



Tu n’as qu’une voie d’accès pour la zone mémoire, elle passe par le contrôleur qui te demande le mot de passe, tu ne peux pas contourner le mot de passe, tu ne peux pas contourner le contrôleur, tu es obligé de suivre les règles du contrôleur même quand tu veux faire du brute-force.



Concernant la demande du bidouillage du firmware, ce bidouillage sera inefficace dans le cas présent, puisque déjà personne (pas même Apple) ne peut accéder aux données pour le modifier, ce qu’ils demandent c’est bien un “passe-partout” pour les prochains iPhone bloqués qu’ils rencontreront.

votre avatar







hellmut a écrit :



non mais y’a pas de juste milieu:

soit les données sont sécu, soit elles ne le sont pas.

on ne peut pas faire de sécu juste contre les méchants.



La liberté des uns s’arrête ou commence celles des autres. Donc oui il faut un juste milieu. Si tu sécurises à fond au point de permettre à tout malfaiteur de faire son méfait en toute tranquillité, c’est contre productif.


votre avatar

Ben justement, c’est ce que je trouve étrange.&nbsp;

Je veux bien croire que ca soit pas si simple du tout, mais FBI quoi !

votre avatar

“FBI quoi” quoi ? C’est une agence gouvernementale remplit de fonctionnaire, son budget dépend de l’humeur de l’exécutif et/ou du législatif fédéral américain.



C’est comme en France, tu peux avoir un pouvoir qui plastronne “sécurité ! sécurité ! sécurité !” et des commissariats qui peuvent plus prendre de plainte car ils sont à cours de ramette de papier.

votre avatar

non mais je crois que t’as pas bien compris mon propos:

en crypto soit c’est sécu, et personne peut décrypter (ni les gentils ni les méchants), soit ça l’est pas.

y’a pas de crypto pour les gentils que les méchants peuvent pas décrypter, et de crypto pour les méchants que seuls les gentils pourraient déchiffrer.



si on décide de coller des backdoors partout pour que les gentils FBI et Police des gentils états démocratiques respectueux des valeurs et des droits de l’Homme comme la France et les US puisse déchiffrer les échanges des méchants (terros/pédos/nazi/chinois/russes/iraniens, etc…), alors:




  • on peut être certains que tous les autres (ie les méchants vilains pas beaux&nbsp;non démocratiques, en gros tout ce qui est à l’est vu d’ici, lol) feront la même chose, mais comme c’est des méchants là c’est pas bien.

  • on peut aussi être certains que ces backdoors seront détournées pour servir des intérêts pas gentils/démocratiques/etc…

  • tout le&nbsp;monde utilisera de la vraie crypto sans backdoor. Ben oui, tu penses bien que le FBI, il veut des backdoors chez Apple, mais pas chez lui.

    &nbsp;

    &nbsp;=&gt;&nbsp;autant revenir 30 ans en arrière à l’époque de l’internet des débuts: tout en clair, pas de crypto, tout le monde il est beau il est gentil, et seuls les méchants et les gouvernements chiffrent. tout le reste on est à poils (mais tu me diras: on s’en fout on n’a rien à cacher).



    c’est pas une question de morale, ou de choix.

    c’est comme ça, c’est binaire.

    après on peut trouver ça dommage, je te l’accorde.



    la crypto c’est un levier de pouvoir.

    le FBI veut se garder la crypto pour ses intérêts, ie les boites US, le gouv US.

    tout le reste il veut pouvoir voir ça en clair.

    la france de son côté c’est pareil, la chine aussi, la russie aussi, etc…



    les pitis terros de l’EI qui font quelques dizaines de morts par an quand ils ont du bol, ils s’en tapent le coquillard, c’est juste une bonne excuse pour parvenir à leurs fins.

votre avatar







le podoclaste a écrit :



“FBI quoi” quoi ? C’est une agence gouvernementale remplit de fonctionnaire, son budget dépend de l’humeur de l’exécutif et/ou du législatif fédéral américain.



C’est comme en France, tu peux avoir un pouvoir qui plastronne “sécurité ! sécurité ! sécurité !” et des commissariats qui peuvent plus prendre de plainte car ils sont à cours de ramette de papier.







aux US ils disent



FBI Fumbling Bureaucratic Incompetence



<img data-src=" />


votre avatar

je viens de réaliser que FBIOS commençait par FBI

<img data-src=" />

votre avatar

Notez, mon “rempli de fonctionnaire” est maladroit, je veux pas faire de l’anti-fonctionarisme primaire, juste souligner que le FBI n’est pas un club de super-héros, mais une police qui ne tient pas les cordons de sa bourse.

votre avatar

Nan mais je ne l’ai pas pris comme ça <img data-src=" />

( et j’ai rien contre les fonctionnaires non plus … quoique parfois … <img data-src=" /> )



Mais il y a un sentiment très répandu aux US que le FBI a plus de réputation que d’efficacité



Des mecs qui n’ont jamais pu coincer Al Capone, des mecs qui pendant qu’ils essayaient d’éradiquer la Mafia dans les années 60 ont laissé la Mafia prendre Las Vegas et laissé les Kennedy se faire assassiner

Ils ont dans leurs rangs fait testifier sur des affaires de meurtres des mecs comme Curran ou utilisé des méthodes de spectrography qui ne marchaient pas et ont utilisé les résultats faux dans des procès

Ils ont laissé faire le Boston Bombing par un mec que les russes leur disaient qu’il était complètement cinglé.

etc …

Je ne serais pas etonné d’apprendre que le FBI doit avoir 30ou 40 avocats pour chaque technicien et enquèteur…

<img data-src=" />



Mais bon dans le sujet qui fait la une , pour moi c’est plus une partie de bras de fer que de pb technique

Apple doit bien pouvoir bypasser le système des 10 tentatives en bootant un truc alternatif ( Fbios) et ainsi

accéder aux données d’une certaine façon

<img data-src=" />

votre avatar







JoePike a écrit :



Mais bon dans le sujet qui fait la une , pour moi c’est plus une partie de bras de fer que de pb technique

Apple doit bien pouvoir bypasser le système des 10 tentatives en bootant un truc alternatif ( Fbios) et ainsi

accéder aux données d’une certaine façon

<img data-src=" />







Ils n’ont jamais dit qu’il ne pouvaient pas. Ils ont dit qu’un tel soft n’existait pas et qu’il ne voulaient pas l’écrire. Ce qui, malgré mon aversion pour cette boite et pas mal d’autres du même accabit, reste tout à leur honneur.


votre avatar

Ben on est d’accord c’est bien seulement une partie de bras de fer… rien d’autre


votre avatar







JoePike a écrit :



Ben on est d’accord c’est bien seulement une partie de bras de fer… rien d’autre







C’est même encore moins que ça, c’est juste de la com. De toutes façons, ils ont fait appel de la décision de justice, ils seront bien obligé de se conformer au jugement rendu. Les lettres ouvertes, déclarations d’intentions et tout le bordel marketing qui va avec ne devrait pas avoir beaucoup d’influence là dedans.



La décision finale sera interessante, à bien des niveaux, pas seulement celui de la vie privée.


votre avatar







cyrano2 a écrit :



La fameuse clef de bagage universel qui s’est fait copier ?http://www.01net.com/actualites/envie-d-ouvrir-des-bagages-d-avion-imprimez-vous…





J’ai jamais dit que c’était safe, juste que les USA avaient déjà fait installé une backdoor sur les valises&nbsp;<img data-src=" />



Après TSA lock ou pas, une valise ça s’ouvre. Limite je préfère me faire voler le contenu de la valise et avoir la valise intacte que me faire voler le contenu et voir ma valise explosée.



Note: je viens de lire l’article, et je comprend pas comment on peut être assez con pour filer des photos des clés maîtres à la presse…


votre avatar

En l’occurence, le FBI ne demande qu’à ouvrir l’accès au téléphone du terroriste pas de pouvoir entrer dans tous les téléphones.



Si la crypto empêche il devrait donc y avoir une solution matérielle et non software dispo uniquement à l’intérieur du téléphone pour pouvoir entrer dans le téléphone crypté comme ça seule la personne ayant le téléphone peut y accéder.



Pour le moment, la morale de l’histoire est que la crypto montre ses limites et vouloir assurer absolument la vie privée de tous même si cela au final pénalise la liberté de tous, c’est tout sauf une bonne chose.



&nbsp;C’est pour ça que je parle de juste milieu. Faut trouver des méthodes permettant d’assurer la vie privée sans entraver la justice pour éviter tous les faits qui justement détruise la liberté des gens.

Tuerie de San Bernardino : Apple ne peut ni ne veut aider le FBI à déverrouiller un iPhone

  • L'impossibilité de fournir une clé qu'on ne possède pas

  • Tim Cook prend la plume et accuse

  • Un luxe de précautions, mais des positions tranchées

  • Le FBI veut des tentatives illimitées sur le code PIN

  • Angoisses à Cupertino

  • Apple refuse d'obtempérer

Fermer