Connexion
Abonnez-vous

iPhone verrouillé : le torchon brûle entre Apple et le FBI

La réponse à la réponse de la réponse

iPhone verrouillé : le torchon brûle entre Apple et le FBI

Le 11 mars 2016 à 16h20

Apple et le FBI viennent d’échanger une nouvelle passe d’armes. L’agence a fourni au tribunal ses arguments pour attaquer les points soulevés par l’entreprise dans son objection au tribunal. Un document au ton très particulier qui a provoqué chez Apple un certain agacement.

Au cœur du débat, on trouve un iPhone 5c verrouillé dont les données chiffrées intéressent le FBI au plus haut point. Le smartphone a été récupéré sur l’auteur de la fusillade de San Bernardino, Syed Rizwan Farook, en décembre dernier. Sans posséder le code à quatre chiffres, les enquêteurs sont bloqués. Le FBI exige donc d’Apple qu’elle s’occupe de cet appareil et en extrait les données via un outil spécifique.

Apple, soutenue pas de nombreuses entreprises, refuse catégoriquement, par crainte d’un précédent : rien n’empêcherait le FBI de lui envoyer par la suite tous les appareils impliqués dans des affaires (200 pour le seul État de New York). L’entreprise s’est donc opposée à l’ordonnance du tribunal, en focalisant sa défense sur la mauvaise utilisation faite de la loi All Writs Act. Cette dernière permet de requérir l’aide d’une entreprise à moins que cela ne représente une charge excessive pour elle. Un point sur lequel un juge de New York a déjà donné raison à Apple dans une autre affaire.

Ce qui est demandé à Apple ? Une simple broutille

La réponse de l’agence fédérale était attendue. Son contenu n’est finalement pas surprenant, mais le ton dénote. Rédigée par la procureur fédérale Eileen Decker, elle contient une liste d’exceptions attaquant point par point les arguments soulevés par Apple, le tout émaillé d’un certain nombre de répliques ironiques, voire sarcastiques.

L’un des principaux points abordés est d’abord l’All Writs Act. Pour le FBI, la charge réclamée à Apple n’est en rien excessive. L’agence estime qu’il ne faudrait pas plus de dix personnes pour concevoir la solution technique. Une véritable goutte d’eau dans les 100 000 employés de la société. Un point intéressant, mais qui occulte deux informations cruciales.

D’une part, il faudrait se limiter au nombre d’employés capables de plonger dans les entrailles d’iOS pour en modifier les fonctionnalités de sécurité. On peut sans doute estimer que le pourcentage est de fait assez faible, puisqu’il faudrait chercher dans les ingénieurs travaillant directement à la conception du système. D’autre part, le FBI ne répond pas sur le danger pour l’entreprise de briser la confiance de ses clients en perçant ses propres défenses, avec un impact potentiel sur son chiffre d’affaires.

Par ailleurs, le FBI accuse Apple de chercher par tous les moyens à faire croire que l’affaire va plus loin qu’un seul iPhone, provoquant l’angoisse d’un précédent qui mettrait tous les smartphones en « danger ». Pourtant, c’est bien le directeur du FBI en personne, James Comey, qui avait fini par indiquer que la décision du tribunal, quelle qu’elle soit, influerait forcément sur les autres affaires en cours.

Le FBI insiste sur l'aspect raisonnable de sa requête

Le document aborde un peu plus loin le point central de la demande du FBI : ce qui est demandé à Apple. L’agence tient ainsi à rappeler qu’elle a expressément demandé une solution ne pouvant fonctionner que sur l’iPhone 5c, afin qu’une éventuelle fuite ne puisse pas se retourner contre l’entreprise. Elle souligne également que le logiciel, même s’il devait s’échapper des mains de son créateur, ne pourrait pas fonctionner avec d’autres, du fait d’une signature numérique unique, correspondant à l’appareil pour lequel elle a été conçu.

Dès lors, pourquoi refuser une requête si raisonnable ? D’autant qu’Apple n’est pas étrangère aux accommodations. En Chine par exemple, la firme a accepté que les données des comptes iCloud soient stockées sur des serveurs locaux.  En outre, Apple a déjà fourni les données stockées dans 4 000 iPhones aux forces de l’ordre chinoises. La résistance au FBI n’a donc pas lieu d’être selon Eileen Decker, d’autant que la manière dont les enquêtes sont conduites sur le sol américain ne devrait pas être influencée par le danger d’une tâche d’huile à l’étranger. Une remarque qui concerne la crainte d’Apple que les autres ne fassent des demandes semblables, et ce pour tous les constructeurs.

L'erreur du mot de passe iCloud n'en était pas vraiment une

Le document aborde également le cas de la sauvegarde iCloud, qui n’avait pas pu être faite à cause d’un changement de mot de passe. Il est révélé qu’une autre demande avait déjà été faite le 22 octobre, soit un mois et demi avant les évènements tragiques de San Bernardino. La dernière sauvegarde datant de trois jours avant, le document indique que même si les données avaient pu être récupérées, elles n’auraient pas nécessairement servi à grand-chose. Un argument curieux, puisque le FBI a bel et bien reconnu avoir commis une erreur sur ce point la semaine dernière.

Le FBI accuse également Apple de ne pas avoir montré de bonne volonté dans l’aide fournie au FBI. Dans un document regroupant les déclarations secondaires, un agent du FBI indique ainsi que le responsable Apple Erik Neuenschwander (qui s’occupe de la vie privée) a refusé toute discussion sur la faisabilité technique de ce qui était demandé. À la place, il aurait fourni une liste de manipulations à effectuer. Le FBI indique que les agents les avaient déjà tentées, mais qu’elles ont été reproduites par sécurité, sans plus de résultats.

Apple dénonce « de fausses accusations et insinuations »

Évidemment très vite informée de ce document, Apple n’a guère mis de temps à réagir. La réponse est venue à peine quelques heures plus tard, par la voix de Bruce Sewell, directeur juridique de l’entreprise, lors d’une conférence de presse organisée pour l’occasion.

Sewell a indiqué ne pas comprendre pourquoi le document ressemblait tant à une « mise en cause », alors même qu’Apple a été saluée plusieurs fois pour sa coopération dans les enquêtes, y compris par James Comey en personne. Pourquoi dès lors s’employer à salir la réputation de l’entreprise avec « de fausses accusations et insinuations » ? Il déplore « une allégation selon laquelle Apple aurait délibérément effectué des changements pour bloquer les demandes d’accès des forces de l’ordre », qu’il trouve particulièrement « choquante ».

Concernant les allégations sur la Chine, elles sont décrites comme « ridicules », insinuant qu’il existerait « une sinistre relation » avec le pays asiatique. Par ailleurs, bien que les données iCloud soient stockées en Chine, elles sont chiffrées et ne sont accessibles qu’à travers un processus juridique américain. On signalera cependant que le chiffrement des données iCloud dépend d’une clé qu’Apple possède bel et bien, et que l’entreprise peut tout à fait fournir ces informations en cas de mandat. Par ailleurs, Sewell ne répond pas sur les 4 000 iPhone mentionnés par la réponse du FBI.

Apple n’est ni « le diable » ni « anti-américaine »

Apple indique ne pas comprendre ce « coup bas » du FBI : « Nous aidons quand on nous le demande. Nous sommes honnêtes sur ce que nous pouvons faire et ne pas faire ». Pour Sewell, la réponse du FBI cherche surtout « à cacher les vrais problèmes ». D’ailleurs, plutôt que de garder la tête froide, le responsable a décidé de rester dans le ton de la réponse de l’agence : « Je ne peux qu’en conclure que le département de la Justice est désespéré au point d’en oublier complètement le protocole ».

Sewell se veut en tout cas clair sur un point : « Nous ajoutons des fonctionnalités de sécurité pour protéger nos clients des pirates et des criminels. Le FBI devrait nous soutenir sur ce point puisqu’il s’agit de garder tout le monde en sûreté. Suggérer le contraire est dégradant ». Le responsable l’affirme d’ailleurs : l’entreprise n’est ni « le diable » ni « anti-américaine », sous le seul prétexte qu’elle s’oppose au département de la Justice.

Rendez-vous le 22 mars au tribunal

En dépit de cette longue liste de points d'opposition, il n’est pas certain que le débat ait gagné en profondeur. Le ton de la réponse du FBI est globalement corrosif et teinté de condescendance, Bruce Sewell ayant suivi avec quelques sarcasmes à son tour. Pour autant, et encore une fois, les deux camps risquent de batailler sur des points précis de lois, alors que le contexte législatif rend justement très difficile de trancher une telle affaire.

Comme déjà indiqué, un juge de New York a donné raison à Apple sur sa critique de l’utilisation faite de l’All Writs Act. Le magistrat estimait ainsi que le FBI cherchait à obtenir par les tribunaux des pouvoirs expressément refusés l’année dernière par le Congrès américain lors du vote sur la loi CALEA II. Dans sa réponse à Apple, le FBI nie un tel acte, insistant sur le caractère unique de la demande. Un soupçon de mauvaise foi, car il est impossible qu’une affaire aussi importante n’ait pas de répercussions sur les autres enquêtes impliquant des iPhone verrouillés.

Apple n’a que jusqu’au 15 mars pour rédiger sa réponse. Le 22 mars, l’entreprise fera face au FBI au tribunal de Riverside pour enregistrer les dépositions. La décision du juge, quant à elle, pourrait prendre plusieurs mois.

Commentaires (31)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Après la série fleuve Apple VS Samsung, maintenant que l’histoire s’essouffle, ils font un spin-off Apple VS FBI?



Ils ont trop regardé Stargate, les californiens? <img data-src=" />

votre avatar

Résumé de l’affaire:







  • FBI: On voudrait, mais on ne peut pas.

  • APPLE: On pourrait, mais on ne veut pas.





votre avatar

<img data-src=" />



Risin’ up, back on the street



Did my time, took my chances



Went the distance now I’m back on my feet



Just a man and his will to survive



So many times it happens too fast



You trade your passion for glory



Don’t lose your grip on the dreams of the past



You must fight just to keep them alive







It’s the eye of the tiger



It’s the thrill of the fight



Rising up to the challenge of our rival



And the last known survivor



Stalks his prey in the night



And he’s watching us all



With the eye of the tiger







<img data-src=" />







<img data-src=" />

votre avatar

On est vendredi,il reste à profiter du pop corn.

votre avatar

Evidemment je me range du côté d’Apple même si je ne suis pas un Apple Fan boy.

votre avatar

merci, c’est sympa en ce début de week-end. <img data-src=" />

votre avatar

Petite question…



Qu’est ce qui empêche le FBI de réaliser une empreinte binaire de tout l’espace de stockage de cet iphone,

De faire leur 10 tentatives, puis de restaurer l’empreinte à chaque fois que ça échoue ?



Parce que bon, je ne crois pas que les composant de stockage de l’iphone aient un système made in apple propriétaire, c’est comme partout ailleurs, une suite de 0 et de 1…



Du coup, qu’est ce qui les empêchent de faire cette copie, et de rejouer autant qu’ils veulent.



et j’irai même plus loin. avec tous les moyens qu’ils ont, ils pourraient même reproduire un iphone en système logiciel, pour automatiser tout ça. (on sait bien émuler une PS2).



(et c’est une question, pas un troll).

votre avatar







Gemini_Power a écrit :



De faire leur 10 tentatives, puis de restaurer l’empreinte à chaque fois que ça échoue ? &nbsp;



&nbsp;

Pour avoir un logiciel clickclick pour que n’importe quel neuneu du FBI (ou autre agence US) puisse avoir le contenu sans passer par de la techno de furieux.



Cet iPhone et l’affaire ne sont qu’un prétexte pour faire passer des trucs liberticides, comme toujours…


votre avatar

En fait, le problème n’est pas technique. Le FBI pourrait le résoudre, au pire en demandant l’aide de la NSA qui sait sans aucun doute le régler. En plus, l’iphone en question ne contient probablement aucune information susceptible d’aider le FBI.



Non, le problème est que le FBI veut un moyen juridique pour forcer les entreprises à briser la sécurité de leur systèmes sur demande, pour gagner du temps. CALEA II a échoué dans ce but, ils tentent une autre voie.

&nbsp;

votre avatar







ramaspaceship a écrit :



En fait, le problème n’est pas technique. Le FBI pourrait le résoudre, au pire en demandant l’aide de la NSA qui sait sans aucun doute le régler. En plus, l’iphone en question ne contient probablement aucune information susceptible d’aider le FBI.



Non, le problème est que le FBI veut un moyen juridique pour forcer les entreprises à briser la sécurité de leur systèmes sur demande, pour gagner du temps. CALEA II a échoué dans ce but, ils tentent une autre voie.





<img data-src=" /> La technique peut résoudre le problème.



Mais si ce n’est pas légal, cela ne sert pas vraiment; tu sais mais ne peut l’utiliser.



Deux solutions :




  • tu changes le droit

  • tu forces la justice



    Le FBI tente le seconde solution, car en ce moment, les lois aux USA, c’est jouer à la roulette pour la voir voter et appliquer.


votre avatar

Moi je pense que la backdoor existe déjà,&nbsp;

c’est juste un cinéma pour protéger le business de la silicon valley

votre avatar
votre avatar

Très INtéressant! Merci pour le partage! <img data-src=" />

votre avatar







ramaspaceship a écrit :



En fait, le problème n’est pas technique. Le FBI pourrait le résoudre, au pire en demandant l’aide de la NSA qui sait sans aucun doute le régler. En plus, l’iphone en question ne contient probablement aucune information susceptible d’aider le FBI.



Non, le problème est que le FBI veut un moyen juridique pour forcer les entreprises à briser la sécurité de leur systèmes sur demande, pour gagner du temps. CALEA II a échoué dans ce but, ils tentent une autre voie.







Pour avoir suivi un peu l’affaire, c’est exactement ça. Non-seulement le FBI pourrait se passer d’Apple, mais ils savent qu’il n’y a probablement rien à tirer de cet iPhone. Ce qui les intéresse n’est pas là. Ils veulent créer un précédent. Ils veulent pouvoir retourner devant les juges chaque fois qu’ils sont emmerdés par une protection et dire “vous devez dire aux nerds de chez Apple/Samsung/Microsoft/Autre de bidouiller pour bypasser leur sécurité, on a le droit d’obtenir ça, c’est juge machin qui l’a dit dans l’affaire de San Bernadino”.


votre avatar

Cette affaire juridique en pleines Primaires présidentielles, ça ressemble à un débat public FBI (Républicains) vs Apple&SiliconValley (Démocrates).

votre avatar







Soriatane a écrit :



+1

https://reflets.info/apple-versus-fbi-le-choc-des-pipeaux/





Ah! Oui, merci.

Ça me conforte dans mon idée&nbsp; que cette affaire devient vraiment n’importe quoi.



J’avais du mal à me faire une opinion dans cette histoire.

Mais maintenant, à mon avis Apple devrait :





  • &nbsp;reconnaître que la protection de son chiffrement est faible.

  • &nbsp;collaborer avec le FBI dans les affaires où ils le doivent (et peuvent).

  • &nbsp;et surtout améliorer cette protection pourrie.





    Le problème, n’est pas si Apple doit aider la justice, ou pas.

    Le problème est qu’ici Apple peut le faire, et très simplement.

    Et si leur système était correctement protégé il ne devraient pas être en capacité de le faire.



    Ce n’est pas parce qu’ils ont conçu le système qu’ils devraient pouvoir aussi simplement le cracker.

    S’ils peuvent faire sauter les limitations (nbr de tentatives, tempo entre les tentatives, etc…) avec une simple mise à jour de l’OS, ça veut dire que la protection est complètement bidon.



    Un vraie protection devrait dépendre uniquement du secret qui est détenu par l’utilisateur, et de la lenteur de la fonction de chiffrement et/ou de limitations hardware, sur lesquelles le concepteur ne peut plus agir à posteriori (dans l’hypothèse où il n’y a pas de “backdoor”).



    Malgré les articles de Vincent, j’ai du mal à voir les enjeux du côté législatif ?

    &nbsp;

    J’ai maintenant juste l’impression que c’est Apple qui tente des se sauver la face, et le FBI qui est maladroit.

    Mais que, par exemple, je n’ai pas l’impression qu’un Google aurai le même problème avec son chiffrement intégrale, car il n’y a pas de “bidouille” à la Apple pour retarder/bloquer le crackage du code.

    En tout cas sur mon android 5.1.1 (c’était déjà le cas en 4.4.4), je n’en vois pas.

    Une fois le chiffrement activé, la seule solution de déverrouillage/déchiffrement est le mot de passe. Plus de code PIN (la SIM c’est autre chose) ou de geste.

    C’est long et chiant a rentrer. Mais, si leur algo est correcte, que mon mot de passe est suffisant (et qu’il n’y a pas de faille/backdoor), ils ne peuvent rien faire de plus pour le cracker. Tout au plus donner des conseil pour optimiser une attaque, mais c’est tout.



    Ou je loupe un autre truc ? (si oui, merci de développer ;) )


votre avatar







Liam a écrit :



… “vous devez dire aux nerds de chez Apple/Samsung/Microsoft/Autre de bidouiller pour bypasser leur sécurité…





&nbsp; Mais justement, le problème est qu’ils ne devraient pas être en capacité de les “bypasser”.

Ce que la loi ne doit surtout pas imposer ce sont les backdoor (une sorte de bypass préventif, mais je ne vois pas comment cette histoire pourrai y aboutir).

Mais le bypass a posteriori, ne devrait tout simplement pas être possible sur un système correctement conçu.

&nbsp;

Appel qui remontai un peu dans mon estime c’est dernier temps, est en train de s’y écraser comme une belle m… avec cette affaire.

&nbsp;

Désolé pour le double post, j’ai pas osé éditer le précédent.


votre avatar

Pour la défense d’Apple (je ne pensais pas dire ça un jour), le bypass ne permet pas de déverrouiller le téléphone, mais juste de permettre une attaque par bruteforce.



Le souci c’est que la taille du mot de passe est limité (4 chiffres), et donc le bruteforce est très facile.



Mais il n’y a pas de solution miracle.

Soit le système est résistant mais il faut un mot de passe compliqué que les gens vont perdre/oublier.

Soit le système a un mot de passe simple et une limitation sur le nombre d’essais, mais du coup un point faible qui est le « gestionnaire » de limitation.



C’est la même chose avec les cartes bleue.

votre avatar







Chocolat-du-mendiant a écrit :



…..

car il n’y a pas de “bidouille” à la Apple pour retarder/bloquer le crackage du code.



….







Euh … un maxi de 3 , 5, 10 tentatives avec retard puis blocage complet ou effaçage ça existe depuis environ 50 ans

Alors nommer cela “bidouille à la Apple” ça fait un peu réinvention de la roue non ?



<img data-src=" />



votre avatar







Mihashi a écrit :



Pour la défense d’Apple (je ne pensais pas dire ça un jour), le bypass ne permet pas de déverrouiller le téléphone, mais juste de permettre une attaque par bruteforce.

&nbsp;

Le souci c’est que la taille du mot de passe est limité (4 chiffres), et donc le bruteforce est très facile.







C’est la même chose avec les cartes bleue.





Ben, oui c’est ça le 1er problème, 4 chiffres,&nbsp; (5 ou 6, j’ai cru lire pour iOS 9), c’est pratique à taper. Mais ça résiste 1 ou 2 secondes max en brute force.

Donc c’est pourri.

&nbsp;





JoePike a écrit :



Euh … un maxi de 3 , 5, 10 tentatives avec retard puis blocage complet ou effaçage ça existe depuis environ 50 ans

Alors nommer cela “bidouille à la Apple” ça fait un peu réinvention de la roue non ?



<img data-src=" />





Le côté “bidouille à la Apple”, c’est de l’avoir implémenté dans l’OS, en pure logicielle, upgradable à distance.

La carte bleu, à ma connaissance c’est “hardware”, dans la puce.

&nbsp;Pour changer ce comportement, toujours en théorie, il faut accéder à la “puce” physiquement et probablement la détruire dans l’opération.

Ça peut se faire, a priori (https://fr.wikipedia.org/wiki/Carte_%C3%A0_puce#S.C3.A9curit.C3.A9_mat.C3.A9riel… ). Mais ça comporte pas mal de risques de tout perdre dans l’opération.

J’ose espérer que les constructeur de carte à puce (genre SIM, ou celles des cartes bleu), n’ont pas les moyens (hors backdoor) d’accéder aux données secrètes quelle contiennent (type code PIN)… mais je pourrait avoir tord d’espérer.



En résumer, le comportement est le même, mais l’implémentation n’a rien à voir, et ça change tout!



Ce que j’ai compris du chiffrement android (voir 1er commentaire) n’a pas ce défaut.

Mais si l’utilisateur, met “1234” comme mot de passe, il sera probablement plus vulnérable que sur iphone.

(Mon 5.1.1 Sony me fait attendre 30 secondes, toutes les 5 erreurs, je ne sais pas s’il y a une limite ?)


votre avatar







Gemini_Power a écrit :



Petite question…



Qu’est ce qui empêche le FBI de réaliser une empreinte binaire de tout l’espace de stockage de cet iphone,

De faire leur 10 tentatives, puis de restaurer l’empreinte à chaque fois que ça échoue ?



Parce que bon, je ne crois pas que les composant de stockage de l’iphone aient un système made in apple propriétaire, c’est comme partout ailleurs, une suite de 0 et de 1…



Du coup, qu’est ce qui les empêchent de faire cette copie, et de rejouer autant qu’ils veulent.



et j’irai même plus loin. avec tous les moyens qu’ils ont, ils pourraient même reproduire un iphone en système logiciel, pour automatiser tout ça. (on sait bien émuler une PS2).



(et c’est une question, pas un troll).







Personne dans l’industrie ne doute que le FBI a les moyens de « casser » un téléphone quelconque. Le but du FBI dans cette affaire (une parmi d’autres) est d’obtenir un précédent légal (une jurisprudence) que l’administration Obama n’obtiendra jamais du Congrès par la législation.


votre avatar

Pour la partie SIM/CB/etc… y’a la puce, et après y’a ce qu’on appel l’OS et les softs.

Si y’a pas de faille hard das la puce, alors c’est pratiquement impossible de capter le PIN qui est stocké chiffré sur le support.



Quand tu tapes ton code de CB, le lecteur envoi un hash du code, la carte répond simplement “oui” ou “non”. a chaque fois que tu “crames” un code, c’est écrit dans une portion de la carte, au bout de 3, le lecteur reçoit l’ordre de zigouiller la puce, données perdues.



Le soucis du brutforce c’est de pouvoir le faire sur un algo factorisable/faible.

Pour le moment, et officiellement, l’AES 256 avec des “mots” de 128bits est inviolé. y’a eu une factorisation, ce qui fait qu’il est passé d’un chiffrement réel de 256 à 254 bits de mémoire.

votre avatar

pourquoi le FBI n’utilise pas une dizaine de leurs stagiaires pour cracker le téléphone? Ca leur ferait gagner du temps et de l’argent.



Voir même demander à leur responsable de la propreté des bâtiments du FBI, encore meilleur marché qu’un vendeur lambda qui ne sait pas comment fonctionne les produits qu’ils doivent vendre

votre avatar

En fait si APPLE peut, c’est inquiétant.

Créer un mécanisme de stockage crypté qui résiste à une attaque avec un avantage mieux que 12^100 est assez facile en principe (mais une mauvaise implémentation peut tout ruiner en ouvrant la porte à des attaques de type timing par exemple) et c’est largement dans les compétences des gars d’Apple.

Si c’est le cas, je ne vois pas ce qu’Apple peut faire pour le FBI, sauf peut-être pousser une update dans tous les iPhones pour qu’ils fassent une attaque distribuée sur des millions de processeurs.

En dehors de ça seule la NSA ou une organisation mafieuse ayant la main sur des millions de PC “zombies” infectés par un virus a la puissance de calcul (et encore il faudra être patient).

votre avatar







Chocolat-du-mendiant a écrit :



Ah! Oui, merci.

Ça me conforte dans mon idée&nbsp; que cette affaire devient vraiment n’importe quoi.



J’avais du mal à me faire une opinion dans cette histoire.

Mais maintenant, à mon avis Apple devrait :

&nbsp;reconnaître que la protection de son chiffrement est faible.&nbsp;collaborer avec le FBI dans les affaires où ils le doivent (et peuvent).&nbsp;et surtout améliorer cette protection pourrie.





Non, la protection d’Apple est forte car basé en partie sur matériel qui chiffre le téléphone et qui est dédié à cela. Mais dans le cas du téléphone qui nous intéresse il est d’une génération où cette partie matériel n’était pas proposé. La protection est donc logicielle.



Si elle est logicielle est dépend du système d’exploitation (iOS) et là dessus Apple a la main dessus.

Pour ceux qui connaissent les systèmes de distribution GNU/Linux (qui utilisent GPG pour signer les paquets et fait que n’importe qui peut être un miroir et servire de relais on est sur que les paquets sont les vrais) ou le système d’autorité de certification X.509 (qui permettent d’afficher HTTPS dans votre navigateur) c’est le même système.



Apple possède une clé maître, de cette clé maître qui est connues de quelques élus, Apple signe une clé fille qui servira à certifier la signature des logiciels Apple. Si cette clé fille est volée, Apple peut la révoquer et en créer une nouvelle à partir de la clé maître.

Si Apple crée une nouvelle version iOS avec de nouvelles fonctions et des fonctions retirées (comme la possibilité d’effacer les données après 10 essai).&nbsp; Il leur suffit de signer et comme les màJ sont automatiques, cette&nbsp; mise à jour écrasera l’ancienne version iOS.



Mais l’utilisateur peut demander de bloquer les MàJ automatique (j’ignore si c’est possible dans iOS),. Donc rendre caduque l’opération.

&nbsp;



Le problème surtout que c’est pas au FBI de décider ou à Apple mais à un juge car un téléphone est un organe sensible de la vie privée.


votre avatar







tmtisfree a écrit :



Personne dans l’industrie ne doute que le FBI a les moyens de « casser » un téléphone quelconque. Le but du FBI dans cette affaire (une parmi d’autres) est d’obtenir un précédent légal (une jurisprudence) que l’administration Obama n’obtiendra jamais du Congrès par la législation.





Oui, mais si Apple (ou un autre) ne peut pas casser le chiffrement simplement. A quoi elle servirait cette loi ?

Pour moi, tant que la loi ne demande pas d’affaiblir la protection à sa conception, je ne voie pas le problème que l’entreprise aide à posteriori.

Le problème ici est que la protection est déjà faible, car Apple peut l’affaiblir à distance. Et ça une loi devrait l’interdire.

&nbsp;





the_Grim_Reaper a écrit :



Pour la partie SIM/CB/etc… y’a la puce, et après y’a ce qu’on appel l’OS et les softs.

Si y’a pas de faille hard das la puce, alors c’est pratiquement impossible de capter le PIN qui est stocké chiffré sur le support.





Oui, c’est ce qui me semblait. (même s’il me semblait aussi qu’il y avait eu des attaques/contournement réussie par le passé. Mais ça ne concernait peut-être que d’anciennes puces, ou des cas particuliers)



&nbsp;Ce n’est pas parce qu’un système peut être une protection correcte avec un secret de 4 chiffres (SIM/CB), que c’est valable pour un autre système.

Si le fabriquant de la carte à puce pouvait, faire sauter la limite d’essais infructueux après avoir livré la carte au client. Il me semble qu’officiellement ce n’est pas le cas.

On reviendrai dans le même cas qu’Apple.

&nbsp;Cas qui me semble anormal. C’est comme si on avait un tiers de “confiance” qui a le droit d’accéder au secret.





Soriatane a écrit :



Non, la protection d’Apple est forte car basé en partie sur matériel qui chiffre le téléphone et qui est dédié à cela. Mais dans le cas du téléphone qui nous intéresse il est d’une génération où cette partie matériel n’était pas proposé. La protection est donc logicielle.



OK, mais je parle bien du cas de ce téléphone, pas d’un autre avec la protection hardware.

J’aurai peut-être due le préciser, mais ça me semblait implicite.

&nbsp;





Soriatane a écrit :



Si elle est logicielle est dépend du système d’exploitation (iOS) et là dessus Apple a la main dessus.

Pour ceux qui connaissent les systèmes de distribution GNU/Linux (qui utilisent GPG pour signer les paquets et fait que n’importe qui peut être un miroir et servire de relais on est sur que les paquets sont les vrais) ou le système d’autorité de certification X.509 (qui permettent d’afficher HTTPS dans votre navigateur) c’est le même système.



Apple possède une clé maître, de cette clé maître qui est connues de quelques élus, Apple signe une clé fille qui servira à certifier la signature des logiciels Apple. Si cette clé fille est volée, Apple peut la révoquer et en créer une nouvelle à partir de la clé maître.

Si Apple crée une nouvelle version iOS avec de nouvelles fonctions et des fonctions retirées (comme la possibilité d’effacer les données après 10 essai).&nbsp; Il leur suffit de signer et comme les màJ sont automatiques, cette&nbsp; mise à jour écrasera l’ancienne version iOS.



Oui, donc c’est bien ce que je dit.

&nbsp;La protection du chiffrement de cet iPhone 5C est faible car elle dépend d’un tiers, ici Apple.

Et ce tiers peut à tout moment utiliser sa clé maître pour généré une mise à jour qui rendra inutile le code PIN de l’utilisateur, a posteriori.

Il ne devrait pas le pouvoir. &lt;- ceci est un point ;)



Dans le cas d’une distribution GNU/Linux, ou sans doute d’un android, tu pourrais imaginer la même situation. Mais, la protection doit reposer sur le mot de passe de l’utilisateur (pas un simple PIN) et la lenteur de l’algo de déchiffrement.

&nbsp;(en général un algo très rapide avec une clé super longue pour les données, et un algo très, très lent pour chiffrer la clé super longue avec le mot de passe de l’utilisateur qui lui doit être humainement “retenable” et “saisissable”)

&nbsp;

Ils (le FBI) pourraient donc faire installer une mise à jour par Ubunutu/Google/MS/etc… qui fait sauter la limite d’essais, le temps d’attente, et autres blocage du système.

Mais auraient toujours besoin de plein de temps et des ordinateurs de la NSA pour attaquer le mot de passe utilisateur (ou la clé super longue qui chiffre les données).

Avec la protection d’Apple, une fois que le nombre d’essai et la tempo ont sautés, ils on juste besoin de la puissance d’un CPC6128 et de quelque minutes (avec le CPC, sinon ce sera quelques centième de secondes ;) )

Ils peuvent même demander à un stagiaire de rentrer à la main toutes les combinaisons, il devrait y arriver en une journée :(







Soriatane a écrit :



&nbsp;Le problème surtout que c’est pas au FBI de décider ou à Apple mais à un juge car un téléphone est un organe sensible de la vie privée.





Ben! ici le juge à du donner son accord, car le FBI a obtenu ce qu’il y avait sur iCloud (je doute qu’ils l’aient eu sans mandat d’un juge, ou un truc du genre).

Ce que j’ai compris des articles de Vincent, c’est qu’un juge (probablement un autre) n’est pas d’accord sur l’utilisation d’une loi précise pour contraindre Apple de déployer une mise à jour bidon de iOS pour contourner la protection de cet iPhone précis.

Mais il n’est pas question de vie privée ici, juste un point de droit et un potentiel risque pour le business d’Apple, si j’ai bien compris.

Pas certains que cela tienne&nbsp; longtemps.



&nbsp;

En gros, il commence à y avoir un consensus sur le fait de ne pas créer de backdoor globale dans des systèmes.

Et là il semble y avoir une crainte, qu’ils essaieraient d’initier le concept de backdoor ciblés dans un système.

&nbsp;J’ai bon ?



Mais pour moi, la backdoor, c’est Apple qui la créé à la conception, en basant 99,9% de la sécurité de ce code PIN sur un truc qu’ils peuvent modifier à posteriori (iOS). C’est débile.

La backdoor est là, ils refusent juste d’utiliser leur master key pour l’activer (en installant une version d’iOS bidon) car ça implique :





  • 1) de reconnaître publiquement qu’ils peuvent déchiffrer un iPhone à posteriori. Alors qu’ils disaient qu’ils n’avait pas la clé et qu’il ne pouvaient pas. Nuance, ils l’avaient (indirectement avec leur master key) et se refusaient juste à l’utiliser pour ça.

  • 2) de galérer à expliquer que ce n’est plus possible sur les nouveau modèle qui ont un composant matériel, pour éviter ce problème. Car l’utilisateur lambda ne comprendra pas la différence, et plus globalement les gens vont être méfiant.

  • 3) d’éventuellement d’ouvrir la porte à une législation autorisant des backdoor ciblés sur demande de la justice.

  • 4) un risque de se faire voler cette version trafiquée d’iOS, s’ils la créaient.



    Ce 4éme argument me semble relativement bidon. Car la master key et le code source (non modifié) d’iOS existent déjà. Et ils ont déjà le risque de se les faire voler. Donc pour moi le risque est déjà là et ne serait probablement pas beaucoup aggravé. Je peux me tromper, ici…

    &nbsp;

    Les points 1 et 2, c’est le problème d’Apple. Ils ont fait de la merde, qu’ils en paient les pots cassés.

    &nbsp;Ils ont les moyens.

    &nbsp;

    Le 3éme point est le plus délicat. Car si je ne voit pas de gros problème à ce qu’ils craquent la protection bidon de cet iPhone. Par exemple dans leurs locaux, et transmettent juste les data en clair au FBI. En gros comme ils l’on fait pour iCloud, c’est chiffré, mais ils ont la clé. C’est juste un peu plus compliqué ici.

    Je ne voudrait par contre&nbsp; pas que ça ouvre la porte a des versions avec backdoor “ciblée”, sur de vrais protections (celles que l’on ne peut pas facilement contourner à posteriori sans le secret que seul l’utilisateur connaît).

    &nbsp;Genre une version d’iOS qui envoi la clé au FBI quand l’utilisateur la tape. Ou qui affaibli l’algo de chiffrement sur le système ciblé.



    Mais on en reviendrait au problème des backdoor, ciblé, ou pas ciblé. Ça revient un peu au même.

    &nbsp;

    Je pense qu’il y a moyen ici d’accepter la requête du FBI, sans valider le principe de backdoor.

    Y compris pour d’autres affaires similaires.

    Par contre la méthode ne fonctionnera plus sur les iPhone avec une meilleur protection. Ou les autres systèmes qui n’ont pas cette faiblesse et où les utilisateurs ont définie un vrai mot de passe (ça ne rend pas le craquage impossible, mais juste beaucoup plus long et cher).


votre avatar

Potentiellement, y’a toujours un moyen, mais tu vas faire des essais sur des puces dont tu n’as rien à faire pour valider al théorie.

Généralement ce type de méthodes utilise le refroidissement partiel ou total de la puce pour suivre les changements d’états.



Pour les histoires de code, si c’est en dur dans la puce, ça ne peux pas se changer.

Si c’est dans la partie “soft” de la puce, avec le bon logiciel et en écrivant au bon endroit avec les bonnées clés (si la zone est chiffrée) tu peux le modifier. Mais ça fait beaucoup de “si”.



Après, pour les soucis de chiffrement, tout dépend du type d’algo utilisé et l’implémentation faite.



La remarque st valable aussi pour la partie NFC des téléphones et des CB d’ailleurs, où des cartes sans contact de transport, que ce soit sur Paris, Londre, New York, Tokyo, …

votre avatar







Chocolat-du-mendiant a écrit :



Oui, mais si Apple (ou un autre) ne peut pas casser le chiffrement simplement. A quoi elle servirait cette loi ?

Pour moi, tant que la loi ne demande pas d’affaiblir la protection à sa conception, je ne voie pas le problème que l’entreprise aide à posteriori.

Le problème ici est que la protection est déjà faible, car Apple peut l’affaiblir à distance. Et ça une loi devrait l’interdire.





Le FBI se fiche de ce téléphone en particulier qui est seulement utile par son poids émotionnel pour faire céder l’industrie. L’agence est une agence gouvernementale, et le gouvernement veut via le FBI un moyen simple de forcer n’importe quelle compagnie à lui livrer une porte d’entrée de leur système privé par une jurisprudence qu’il pourra rendre effective ou étoffer plus tard par la loi. Une bonne crise n’est jamais perdue pour ces suceur de pouvoir.



Comme l’a si bien dit un Président US célèbre :

The nine most terrifying words in the English language are, “I’m from the government and I’m here to help.”




  • Ronald Reagan


votre avatar







saladiste a écrit :



Reagan ? Vraiment ?





Peut-être. L’important est le message.


votre avatar







tmtisfree a écrit :



Le FBI se fiche de ce téléphone en particulier qui est seulement utile par son poids émotionnel pour faire céder l’industrie. L’agence est une agence gouvernementale, et le gouvernement veut via le FBI un moyen simple de forcer n’importe quelle compagnie à lui livrer une porte d’entrée de leur système privé par une jurisprudence qu’il pourra rendre effective ou étoffer plus tard par la loi. Une bonne crise n’est jamais perdue pour ces suceur de pouvoir.



OK, mais que peuvent-ils gagner exactement dans cette histoire précise ?



L’obligation d’aider la justice, les entreprises l’ont déjà.



&nbsp;Par contre ils n’ont pas l’obligation de mettre des backdoor dans les systèmes qu’ils vendent/distribuent.

&nbsp;Et ça tombe bien, ce n’est pas ce qui est demandé ici (ça change des autres fois).

Mais la backdoor elle est déjà là.

&nbsp;Probablement pas dans cet objectif. Sans doute plus pour faire des économie, et ne pas compliquer la vie de l’utilisateur avec un vrai mot de passe.

Mais le fait est qu’elle est déjà en place, on y peut plus rien.

&nbsp;

&nbsp;Ils n’ont pas l’obligation de donner un accès à leur système privé comme tu le dit, et là encore ce n’est pas ce qui est demandé.



Du reste le seul argument que peut actuellement opposer Apple&nbsp; (apparemment pour une autre affaire), c’est que ça nuirai à leur business, C.f. ce passage d’un précédent article :



“Pour comprendre les problématiques soulevées par Apple,

il faut rappeler&nbsp;que cette loi de 1789 permet aux forces de l’ordre de

requérir l’aide d’une personne, qu’elle soit physique ou morale. Il

existe cependant des limites à son application, dont la principale&nbsp;:

l’aide requise ne doit pas mettre en danger l’activité commerciale de

l’entreprise appelée. Or, pour Apple, circonvenir ses propres mesures de sécurité reviendrait immédiatement à briser la confiance des clients,

la société insistant sur ce point depuis plusieurs années maintenant.”



Mais au risque de me répéter, la confiance de ses clients Apple ne la méritait pas.

&nbsp;Ils ont dit qu’ils ne pouvaient pas déchiffrer ce qu’un utilisateur avait chiffré.

Et c’est faux. &lt;- c’est un point

Il fallait apparemment juste comprendre qu’il ne le feraient pas. Mais ce n’est pas ce qu’ils ont dit.



Perso, je préférerait que l’on laisse le FBI obtenir ce qu’il a légalement le droit de demander, qu’on le médiatise bien, et qu’on s’assure plutôt qu’Apple ne recommencera pas à promettre des choses fausses.



&nbsp;


votre avatar

L’industrie (et donc ses clients, cád nous) a tout à perdre et rien à gagner, évidemment.

Et je ne dis pas qu’ils ont l’obligation de donner accès à leur système, mais que le FBI le cherche en provoquant un effet levier par cette affaire. Ce n’est pas comme si toutes les agences gouvernementales US ne le réclamaient pas depuis des mois après le tollé provoqué par l’affaire Snowden.

iPhone verrouillé : le torchon brûle entre Apple et le FBI

  • Ce qui est demandé à Apple ? Une simple broutille

  • Le FBI insiste sur l'aspect raisonnable de sa requête

  • L'erreur du mot de passe iCloud n'en était pas vraiment une

  • Apple dénonce « de fausses accusations et insinuations »

  • Apple n’est ni « le diable » ni « anti-américaine »

  • Rendez-vous le 22 mars au tribunal

Fermer