iOS 9.3 bouchera complètement une faille dans iMessage

Florian Innocente | | 13:30 |  8

En plein débat sur les capacités de chiffrement d’iOS, une faille dans iMessage fera l’objet d’un correctif spécifique dans iOS 9.3 qu'Apple distribuera ce soir en version finale (MàJ : la mise à jour 10.11.4 d'El Capitan s'occupe de ce défaut sur Mac).

La Pomme a expliqué au Washington Post que cette faille, qui permettait de récupérer des photos et des vidéos au sein de discussions iMessages pourtant chiffrées, avait été corrigée en deux temps. Partiellement l’année dernière au moment de la sortie d’iOS 9 puis complètement avec la mise à jour de ce soir.

C’est en étudiant l’an dernier le guide de sécurité d’iOS et la procédure utilisée pour le chiffrement que Matthew D. Green, professeur d’informatique à l’université Johns Hopkins, a pressenti qu’il y avait peut-être une vulnérabilité à utiliser. Il a alors prévenu Apple mais observé au bout de quelques mois que la faille perdurait.

Avec quelques-uns de ses élèves, il a mis au point une technique pour extraire des images ou vidéos d’une conversation iMessage. Il a fallu pour cela utiliser un iOS antérieur à la version 9 et cet effort a pris quelques mois. Les détails n'ont pas encore été publiés, en attendant qu'iOS 9.3 soit mis en ligne.

Pour intercepter un fichier, les chercheurs ont écrit un logiciel qui simulait un serveur d'Apple. La communication chiffrée qu'ils ont ciblée contenait un lien vers la photo stockée sur les serveurs iCloud d'Apple, ainsi qu'une clé de 64 chiffres pour déchiffrer la photo. Les étudiants ne pouvaient pas voir les caractères de cette clef, mais ils les ont devinés au moyen d'une procédure répétitive : en changeant un chiffre ou une lettre dans la clé et en l'envoyant vers le téléphone ciblé. Chaque fois qu'ils devinaient correctement un caractère, le téléphone l'acceptait. Ils ont soumis le téléphone à cette interrogation des milliers de fois. "Et nous avons continué ainsi" a expliqué M. Green, "jusqu'à ce que nous ayons la clé."

Il aurait été possible d’adapter la même technique à des versions plus récentes d’iOS, assure le professeur, mais à condition de disposer de ressources comme seul peut en procurer un organisme d’état.

Pour lui, cette faille est de nature à démontrer que la demande du FBI de créer une version d’iOS dépourvue de certaines de ses sécurités est un non-sens, alors que des bugs existent déjà malgré toutes les précautions prises par les concepteurs du système.

Même Apple, avec toutes ses compétences — et elle a de brillants cryptographes — n'a pas été capable de faire les choses correctement. Dès lors, je suis effrayé de voir que l'on parle d'ajouter des portes dérobées au chiffrement alors que l'on n'est pas capable de réaliser correctement un chiffrement de base.
Catégorie : 

Les derniers dossiers sur iGeneration

Ailleurs sur le Web


8 Commentaires

avatar Thegoldfinger 21/03/2016 - 14:27

"Même Apple, avec toutes ses compétences — et elle a de brillants cryptographes — n'a pas été capable de faire les choses correctement. Dès lors, je suis effrayé de voir que l'on parle d'ajouter des portes dérobées au chiffrement alors que l'on n'est pas capable de réaliser correctement un chiffrement de base."

Oui mais contrairement à ce monsieur qui est très compétent , le FBI est géré par des incompétents et à donc choisi la manière forte.

Pour Pêcher , on peut soit utiliser une canne à pêche , soit une grenade.
Le FBI a choisit la grenade.

avatar Paquito06 21/03/2016 - 14:42via iGeneration pour iOS

@Thegoldfinger :
Meme si lenprivé reste bien plus remunerateur (et attire donc les meilleurs), je craisn que le FBI (et autres agences d'Etat) ne soient depourvues de cerveaux. Ce prof nous eclaire tjrs plus. Le FBI a peut etre deja trouve la faille, mais comment prouver ca devant un tribunal, ca pourrait se retourner contre eux, d'ou le "Apple offrez nous un backdoor officielement" (on a une solution illegale officieusement qu'on ne peut pas mettre en avant).

avatar oxof 21/03/2016 - 14:43

@Thegoldfinger Tu as sûr que le FBI est géré par des incompétents ou tu dis ça comme ça ? C'est juste pour savoir...

avatar CNNN 21/03/2016 - 15:14via iGeneration pour iOS

J'espère que le jailbreak sortira vite sous iOS 9.3
Je suis toujours en iOS 9.0.2

avatar IRONMAN65 21/03/2016 - 15:16via iGeneration pour iOS

Autant de temps pour corriger une faille ?!!!!

avatar Ginger bread 21/03/2016 - 16:36via iGeneration pour iOS

@IRONMAN65 :
Lol

avatar narugi 21/03/2016 - 17:15via iGeneration pour iOS

@IRONMAN65 :
C'est surtout ça qui inquiète. Le temps de résolution.

avatar RedMak 21/03/2016 - 17:46via iGeneration pour iOS

C'est pas aussi simple, il y a des mise à jours serveur et SURTOU de pouvoir fixer le bug sans casser l'inter-operabilitée avec les anciennes versions d'imessage (d'ios en gros).
Mais oui, la fiabilité des boites est liée entre autres choses au "temps de réponse"