Connexion
Abonnez-vous

Pensacola : Donald Trump s’en mêle et demande à Apple de déverrouiller les iPhone

Pensacola : Donald Trump s’en mêle et demande à Apple de déverrouiller les iPhone

Le 15 janvier 2020 à 09h21

Dans ce qui ressemble fort à une redite des évènements de San Bernardino en 2015, deux iPhone ont été retrouvés après qu’un lieutenant saoudien, en formation aux États-Unis, a tué trois personnes et blessé huit autres dans une base navale de Pensacola en Floride.

Apple aide depuis le FBI à récupérer des informations, mais se refuse à percer ses propres défenses pour récupérer les données stockées dans l’appareil, irrécupérables sans le code PIN à six chiffres.

William Barr, procureur général des États-Unis, a déjà attaqué frontalement Apple, estimant que la société n’en faisait pas assez, voire qu’elle était de mauvaise volonté. Ce à quoi Apple – dont l’armada d’avocats se prépare sans doute – avait répondu par un long communiqué détaillant tout ce qui avait été fait.

Mais un évènement a changé depuis les évènements de San Bernardino : le président des États-Unis. Barack Obama s’était tenu relativement à l’écart, Donald Trump a fait valoir son point de vue hier sur Twitter.

« Nous aidons tout le temps Apple sur le commerce et tant d’autres problèmes, et pourtant ils refusent de déverrouiller des téléphones utilisés par des tueurs, dealers de drogue et autres éléments criminels violents », fustige Trump, clôturant par un de ses célèbres « Make America great again ».

Dans le cas de San Bernardino, la bataille juridique entre Apple et FBI n’avait finalement pas eu lieu : le Bureau a acheté plus d’un million de dollars une faille de sécurité permettant d’obtenir ce dont les agents avaient besoin. Apple avait d’ailleurs demandé à avoir les détails de cette brèche, ce que le FBI avait refusé.

À moins que l’agence fédérale obtienne une nouvelle faille, il est probable que la bataille aura cette fois lieu. Une bonne partie du modèle commercial d’Apple étant bâti sur la sécurité et le respect de la vie privée (la plupart des services sont chiffrés de bout en bout), on peut s’attendre cette fois à ce que la firme se batte frénétiquement.

Le 15 janvier 2020 à 09h21

Commentaires (40)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Une parole présidentielle trop présente perd de son importance…



Le mec gueule pour tout et rien, on dirait moi.

votre avatar

Il a juste une moyenne de 20 tweets par jour, c’est rien <img data-src=" /><img data-src=" /><img data-src=" />

votre avatar

Le problème est que ce genre de discours touche le grand public qui croit alors réellement que Apple peut déverrouiller ses smartphones mais refuse. Alors qu’en vrai ce n’est pas le cas et c’est beaucoup plus complexe que ça. J’ai déjà entendu des gens utiliser cette affaire pour affirmer que Apple surpasse la justice :/

votre avatar

Bah en même temps de la part d’un type qui fait la promotion de la conspiration du vaccin et de l’autisme… c’est malheureusement triste.

votre avatar

Faille et backdoor serait les seuls moyens, s’ils acceptent de le faire ce serait avouer totalement que leur périph n’est pas si safe que ça car soit : piratable, soit : contournable et espionnable…



Ils se battent sur ces 2 créneaux donc c’est logique qu’il refuse toute manipulation…&nbsp;



Après ne pas être crédule non plus, ils ont surement moyen d’y accéder….&nbsp;

votre avatar







sir.thorfin a écrit :



Après ne pas être crédule non plus, ils ont surement moyen d’y accéder….&nbsp;





Par quel moyen ? Backdoor ou faille 0-day ?


votre avatar

“Une bonne partie du modèle commercial d’Apple étant bâti sur la sécurité et le respect de la vie privée […]”



Il ne faut pas confondre stratégie de communication et modèle commercial…

votre avatar

Oui, merci. Le modèle commercial d’Apple, comme toutes les grosses industries du numérique aujourd’hui, se base sur la collecte et l’analyse de données. Dont les données des appareils qu’ils vendent.

votre avatar







alex.d. a écrit :



Par quel moyen ? Backdoor ou faille 0-day ?





De ce que j’avais lu dans un papier à l’époque de l’ancienne affaire&nbsp;(que je n’arrive pas à retrouver :( )&nbsp;il s’agit d’une méthode assimilable à du clonage des espaces mémoires et brute force dessus. Quand tu es locké, tu remontes un clone et tu reprend ta séquence.


votre avatar

Tu clones la Secure Enclave ?!?

votre avatar

Qu’une petite partie de leurs revenus viennent de ça je ne le nie pas. Que ça leur serve à façonner certains produits ou services aussi. Ça n’est pas ce qui s’appelle un modèle commercial.



Les revenus de produits financiers par exemple (revenus des placements de leur gigantesque trésor de guerre) vont bien au-delà. Regardes simplement comment sont répartis les revenus d’Apple, ça sera bien plus clair.

votre avatar







Kevsler a écrit :



Oui, merci. Le modèle commercial d’Apple, comme toutes les grosses industries du numérique aujourd’hui, se base sur la collecte et l’analyse de données. Dont les données des appareils qu’ils vendent.





On peut en douter pour Apple. En tout cas, ce n’est pas aussi gros que la lecture de tous les messages des utilisateurs (ce qui est en jeu ici). Ils peuvent très bien se permettre de crypter les messages de bout en bout avec des clés impossibles à récupérer (si l’utilisateur en donne une partie) si ce qui les intéresse, ce sont les goûts musicaux, les apps, les données de santé que les utilisateurs partagent “pour avoir un meilleur service”, leurs achats sur les stores…


votre avatar

J’ai pas parlé de commercialisation de la donnée.

votre avatar

Je pense que non, d’où le bruteforce, sinon ça serait réglé.

votre avatar

moi non plus <img data-src=" />

votre avatar







dylem29 a écrit :



Le mec gueule pour tout et rien, on dirait moi.





Arf, j’espère que tu n’as pas la même coupe de cheveux&nbsp;<img data-src=" />


votre avatar

Non faut pas déconner, je me respecte. <img data-src=" />

votre avatar







alex.d. a écrit :



Tu clones la Secure Enclave ?!?





&nbsp;



TheMyst a écrit :



Je pense que non, d’où le bruteforce, sinon ça serait réglé.&nbsp;







Oui tu la clone, sans la déchiffrer. Et tu bruteforce comme dit plus haut, avec les quelques essais disponibles par instance. On est dans des cas d’accès physique à la machine et à ses composants.

&nbsp;


votre avatar

Apple ou l’hopital qui se fout royalement de la charité.

votre avatar







mightmagic a écrit :



Apple ou l’hopital qui se fout royalement de la charité.





Explique


votre avatar

Quelqu’un pourrait juste me l’éclairer (la lanterne) : les clés de chiffrement sont bien dans une enclave sécurisée ? Et elles sont protégées par un code PIN ?



Donc comment Apple pourrait “aider” à part en supprimant le blocage suite à trop d’essais de code PIN, puisqu’Apple ne connaît pas les clés de chiffrement qui ne sont stockées qu’en local dans l’enclave ? Si c’est bien ça, autant enlever tout de suite le code PIN de tous les smartphones, ou alors il faudra les complexifier (genre 12-14 chiffres) car sinon n’importe quel script ad hoc de brute force en viendra à bout en quelques minutes.



Et dans iCloud, ça marche comment (à supposer que l’utilisateur sauvegarde ses données dedans) ?

votre avatar

Ce que le FBI demandait dans l’affaire San Bernardino si je ne dis pas de bêtise c’était une “mise à jour” vulnérable et signée par Apple pour pouvoir être installée, qui permettrait de bruteforcer le PIN sans se retrouver bloqué.

votre avatar

Pour iCloud, ils ont les clés de chiffrement (il me semble). Donc toute donnée non chiffrée remontée dans leur cloud peut être refilée aux autorités.

votre avatar







misterB a écrit :



Explique





Tu veux que j’enfonce une porte ouverte?

Je ne pense pas que cela soit nécessaire ni utile.


votre avatar

Sur les SoC Apple les plus récents, Apple ne peut plus aider même s’il est contraint :



Sur les appareils équipés de SoC A12 et S4, le Secure Enclave est associé à un circuit intégré de stockage sécurisé (CI) destiné à stocker le compteur anti‑répétition. Le CI de stockage sécurisé est constitué d’un code de ROM immuable, d’un générateur matériel de nombres aléatoires, de moteurs cryptographiques et d’un détecteur de manipulation physique. Pour lire les compteurs et les mettre à jour, le Secure Enclave et le CI de stockage utilisent un protocole sécurisé qui garantit un accès exclusif aux compteurs.

Les services anti‑répétition du Secure Enclave sont utilisés pour la révocation des données sur des événements qui marquent les limites de l’anti‑répétition, notamment ce qui suit :

• modification du code ;

• activation/désactivation de Touch ID ou Face ID ;

• ajout/suppression des empreintes pour Touch ID ;

• réinitialisation de Face ID ;

• ajout/retrait de carte Apple Pay ;

• effacer contenu et réglages



Lors de l’affaire précédente, on avait encore la possibilité de forcer Apple à générer un soft signé pour la secure enclave faisant sauter le compteur qui était logiciel, là, ça devient impossible (ou très très difficile) : ROM, donc code non modifiable,

détecteur d’attaque physique (ça risque d’être le seul point faible si mal conçu).



La communication d’Apple montrait qu’ils allaient aller dans ce sens, et c’est fait.



Donc, Trump, il peut gueuler autant qu’il veut sur Twitter, la justice ne pourra rien imposer à Apple qui a conçu un système qu’elle ne peut pas contourner elle-même.



Edit :







Freeben666 a écrit :



Ce que le FBI demandait dans l’affaire San Bernardino si je ne dis pas de bêtise c’était une “mise à jour” vulnérable et signée par Apple pour pouvoir être installée, qui permettrait de bruteforcer le PIN sans se retrouver bloqué.







Oui et ce n’est plus possible sur ses derniers SoC.


votre avatar







mightmagic a écrit :



Tu veux que j’enfonce une porte ouverte?

Je ne pense pas que cela soit nécessaire ni utile.





Je ne vois pas de quoi tu parles, donc sil te plait éclaire ma lanterne


votre avatar



Non, les clés ne sortent pas de l’enclave sécurisée.



Par contre sur iCloud, si tu ne désactives pas la copie, tu as plein d’infos en clair puisque non chiffrées.



Tout bon terroriste apprend à désactiver cette fonction.

votre avatar

Pourquoi les terroristes ne font pas de sauvegarde sur iCloud, ça faciliterais la tache du FBI

votre avatar

Merci beaucoup du détail. Du coup en effet, ce qui avait été possible à l’époque ne l’est plus.

votre avatar

Trump étant avant tout un commercial, on peut imaginer sa logique.

Il veut un échange.

Sauf que comme expliqué par Obidoub, c’est pas seulement une question de volonté.

votre avatar







Kevsler a écrit :



Oui, merci. Le modèle commercial d’Apple, comme toutes les grosses industries du numérique aujourd’hui, se base sur la collecte et l’analyse de données. Dont les données des appareils qu’ils vendent.







Pas vraiment. Le modèle commercial d’Apple c’est de faire croire à Jean-Kévin (et Jeanne-Kévina, soyons pas sexistes) que si à 15 ans t’as pas un iPhone à 1000€, t’as raté ta vie.


votre avatar

<img data-src=" />

Ça mériterait (à mon avis) d’être intégré à la brève.

votre avatar

Exactement, ils s’en mettent plein les fouilles avec le matériel (et aussi les services numériques comme l’App Store, Apple Music, iCloud, …), donc pas besoin de revendre les données des clients.



Bon, faut pas se leurrer, ils se gavent quand même de méta-données pour toujours mieux cibler leurs produits, mais c’est pas comme FB qui revend ça allègrement !

votre avatar







alex.d. a écrit :



Par quel moyen ? Backdoor ou faille 0-day ?





a part le clonage et brute force, j’aurai été tenté de dire une faille, on a beau s’appeler apple on ne peut pas tout sécurisé je penses ;)


votre avatar

j’aurais bien mis un petit coeur sur ton post, mais c’est pas possible.

merci pour le résumé. <img data-src=" />

votre avatar







Winderly a écrit :



<img data-src=" />

Ça mériterait (à mon avis) d’être intégré à la brève.







Pour être plus complet sur cette affaire précise, les iPhones concernés sont assez anciens iPhones 5 et 7 et n’ont pas la protection dont je parle.



Donc, a priori, le FBI sait casser le chiffrement par brute force sur code pin et Apple saurait aussi faire un soft pour l’enclave sécurisée signé pour supprimer le compteur. Mais, si ce soft est générique pour une version de Soc donnée (et pas spécifique à à l’iPhone ciblé), c’est trop dangereux parce que ça affaiblirait un grand nombre d’iPhones et c’est leur discours.



Il s’agit donc probablement une bataille plus médiatique que policière/judiciaire.



Fred42, apprenti journaliste.


votre avatar







sir.thorfin a écrit :



a part le clonage et brute force, j’aurai été tenté de dire une faille, on a beau s’appeler apple on ne peut pas tout sécurisé je penses ;)





Une faille connue chez Apple mais pas encore patchée ?

&nbsp;


votre avatar







mightmagic a écrit :



Tu veux que j’enfonce une porte ouverte?

Je ne pense pas que cela soit nécessaire ni utile.









misterB a écrit :



Je ne vois pas de quoi tu parles, donc sil te plait éclaire ma lanterne



Pareil que le B, j’aimerais aussi savoir ce qui te fait dire ca.


votre avatar

Trump demande de déverrouiller les smartphones Apple.

Apple demande de verrouiller la bouche de Trump.

Belle bataille et assurément Apple vaincra

votre avatar

A priori c’est bon pour le FBI : IPhone : Le FBI réussit à déverrouiller le dernier modèle sans l’aide d’Apple. Avec un boitier à 30 000 $.

Pensacola : Donald Trump s’en mêle et demande à Apple de déverrouiller les iPhone

Fermer