Depuis iOS 10, les sauvegardes chiffrées sur iTunes sont moins bien protégées
Faute avouée est à moitié pardonnée
Le 26 septembre 2016 à 15h00
4 min
Société numérique
Société
Apple a reconnu l’existence d’un problème de sécurité avec les sauvegardes iTunes faites depuis des appareils iOS 10. La société travaille sur une solution et recommande en attendant que les utilisateurs verrouillent soigneusement les ordinateurs.
Depuis le premier iPhone, l’utilisateur peut réaliser des sauvegardes via iTunes. L’intégralité du contenu est ainsi préservée dans une archive dont l’accès peut être verrouillé et chiffré. Ces sauvegardes locales ne sont plus depuis longtemps la seule manière de faire, mais permettent une restauration assez rapide en cas de problème, l’archive restaurant les applications, leurs données, les SMS, historiques et autres.
Un chiffrement qui laisse passer la force brute
Depuis iOS 10 cependant, une étape n’est plus correctement faite dans la protection mise en place quand l’utilisateur choisit de la chiffrer. Le souci a été détecté par la société Elcomsoft, qui a averti Apple dans la foulée. Elle indique qu’iTunes utilise une nouvelle méthode de sauvegarde pour le nouveau système mobile, mais qui ne dispose pas des mêmes sécurités que l’ancienne. D’ailleurs, celle-ci est toujours en place pour les versions antérieures d’iOS.
Plus précisément, Elcomsoft indique avoir trouvé une « méthode alternative de vérifications des mots de passe » dans les sauvegardes iOS 10. En examinant ce mécanisme de plus près, la société s’est aperçu qu'il manquait des barrières atténuant normalement l’efficacité de la force brute pour récupérer le mot de passe.
Résultat, l’outil utilisé pour trouver le sésame a fonctionné à la cadence de 6 millions de tentatives par seconde, soit une rapidité de traitement 2 500 fois supérieure à ce qui était possible sur une sauvegarde iOS 9. Dans 80 à 90 % des cas, Elcomsoft indique que son outil a trouvé le bon mot de passe. Les archives contenant également le contenu du Trousseau et donc d’autres identifiants, le souci de sécurité est sérieux.
Apple reconnaît le problème
Dans une réponse donnée à Forbes, Apple a reconnu qu’il existait bien un problème : « Nous sommes informés d’un problème touchant le niveau de chiffrement des sauvegardes des appareils iOS 10 […]. Nous corrigerons ce souci dans une prochaine mise à jour de sécurité ». Le conseil d’Apple ? « Nous recommandons aux utilisateurs de s’assurer que leurs Mac et PC sont protégés par des mots de passe forts et ne sont accessibles qu’à des personnes autorisées ».
La firme précise cependant que les sauvegardes iCloud ne sont pas concernées par ce problème. Un point important car iTunes n’est plus depuis longtemps le seul moyen de mettre ses informations de côté. En fait, bon nombre d’utilisateurs d’appareils iOS n’installent même plus iTunes sur leur PC, iCloud sauvegardant automatiquement les données. Si tant est que ces dernières ne dépassent pas les petits 5 Go octroyés par Apple, auquel cas le premier abonnement est de 99 centimes par mois pour 50 Go.
Protéger l'accès à la machine
En attendant, on ne sait pas vraiment où se situe précisément le problème, dans iOS 10 ou dans iTunes. Dans le doute, si vous n’avez pas moyen de contrôler l’accès à l’ordinateur, mieux vaut se passer de sauvegarde. Si la session du Mac ou du PC est protégée par un mot de passe fort et que l’unité de stockage elle-même est chiffrée (FileVault, BitLocker et autre), le risque est par contre faible.
Depuis iOS 10, les sauvegardes chiffrées sur iTunes sont moins bien protégées
-
Un chiffrement qui laisse passer la force brute
-
Apple reconnaît le problème
-
Protéger l'accès à la machine
Commentaires (22)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 26/09/2016 à 15h07
Apple semble rencontrer pas mal de problème sur le nouvel IOS, ils ont fait le même coup pour le 9. À se demander s’ils testent vraiment leur OS (sur une flotte conséquente j’entends) avant de le mettre à dispo.
Ce n’est pas du basching pur et dur, je trouve juste dommage que des erreurs comme ça soit encore faite de nos jours, c’est comme les faux raccord jours/nuits dans les films …
Le 26/09/2016 à 15h11
Un gros chien, ça compte pour protéger l’accès à la machine ?
Le 27/09/2016 à 07h31
Le 27/09/2016 à 07h37
Ben forcément, avec 16 32 24 Go (réels), ça reste peu …
Le 27/09/2016 à 08h13
la NSA ne demande rien. c’est le FBI dont tu parles.
la NSA fait sa tambouille dans son coin.
Le 27/09/2016 à 19h09
Le 26/09/2016 à 15h16
ça dépend pas de la taille du chien.
" />
mieux vaut un petit teigneux qu’un gros toutou.
Le 26/09/2016 à 15h19
Je plussoie, j’ai un iPhone SE sous IOS10 et bien que l’ensemble soit stable, j’ai tout de même quelque glitch avec mon VPN, ou des petites choses ça et là. Comme quoi, tous les OS en version 10 ont des problèmes… ( oui windaube, c’est à toi que je pense ).
Le 26/09/2016 à 15h23
En lisant le papier de la société Elcomsoft, on voit qu’il faut aussi ne pas laisser un iPhone déverrouillé sans surveillance, il est facile d’après eux de déclencher une sauvegarde et ensuite attaquer en bruteforce.
Le 26/09/2016 à 15h24
De toute manière, laisser son smartphone déverrouillé sur la table, que ce soit un IPhone ou un autre, c’est une invitation à se prendre une taloche.
Le 26/09/2016 à 15h38
Y a encore des gens qui utilisent le Cloud? Ils sont pas assez naif comme ça ?
Le 26/09/2016 à 15h45
C’est quoi le rapport avec le cloud ?
Le 26/09/2016 à 15h49
le tel verrouillé, c’est comme les mots de passe: ça fait chier les gens, du coup 90% ne verrouillent pas.
encore un truc de nerds. ^^
ah si pardon: depuis qu’ils ont mis des lecteurs d’empreinte les gens verrouillent puisque c’est plus rapide.
Le 26/09/2016 à 16h37
Le 26/09/2016 à 16h45
Au risque de paraître mauvaise langue, ne sagirait-il pas d’une tentative (visiblement pas assez) discrète de plaire à la NSA ?
Apple continue de chiffrer et clamer haut et fort qu’il ne collaborera pas avec les Men In Black, mais ces derniers peuvent maintenant tout faire sauter en 10s :p
Les techos (ou commerciaux, je n’en sais rien) de chez Apple ne sont pas plus intelligents que leurs homologues de chez MS, Google, Samsung etc : parfois, ils tentent un truc totalement débile en espérant que ça passera.
Le 26/09/2016 à 17h06
Le 26/09/2016 à 17h40
euhh non justement c’est réaliser ses sauvegardes sur iTunes qui permet de se passer des sauvegardes dans le nuage …
Le 26/09/2016 à 17h57
Perdu !
Sur iTunes la sauvegarde est en local justement.
D’ailleurs en choisissant l’option chiffrement de cette sauvegarde, plus d’éléments sont sauvegardés, notamment ceux contenant des mots de passe.
A force de fustiger le cloud juste par principe, on fini par s’égarer un peu…
Personnellement j’attend qu’Apple change la méthode de chiffrement d’iCloud afin que plus personne n’y ai accès (y compris eux). Apparemment c’est en cours…
Quant aux problème de la sauvegarde iTunes il a été identifié et une solution ne saurait tarder.
Le 26/09/2016 à 18h00
La NSA n’a pas besoin qu’Apple réduise la sécurité de la sauvegarde iTunes car il lui suffit de demander à Apple l’accès à la sauvegarde iCloud (ce qui est encore possible mais peut-être plus à l’avenir), qui d’ailleurs contient plus d’informations que la sauvegarde iTunes.
Apple publie les statistiques de ces demandes d’accès, dans le cadre prévu par la loi.
Le 26/09/2016 à 19h03
Le 26/09/2016 à 19h05
Le 27/09/2016 à 06h17