Vous pouvez encore mieux protéger votre iPhone qu'avec un code à 6 chiffres
Le GrayKey, ce boîtier utilisé notamment par les pouvoirs américains pour déverrouiller des iPhone dans le cadre d’enquêtes, rappelle qu’à la base de la sécurité de l’iPhone — et de tous les autres smartphones —, il y a le code défini par l’utilisateur. Il faut au GrayKey en moyenne moins d’une demi-journée pour déverrouiller un iPhone protégé par un code standard comportant 6 chiffres.
En complexifiant la clé, on complique la tâche de ce boîtier qui opère par force brute, c’est-à-dire qui teste constamment des codes jusqu’à trouver le bon, et ce en contournant les mesures d’iOS qui sont censées le ralentir. Les options que nous allons vous présenter ne sont pas nouvelles, mais une piqûre de rappel ne fait jamais de mal, surtout à l’heure où circule une solution de déverrouillage beaucoup plus abordable que ce qui était connu jusqu’à présent — un GrayKey coûte 15 000 $ pour 300 iPhone, quand Cellebrite, un autre spécialiste, fait payer 5 000 $ pour un iPhone seulement.
Si vous n’avez pas changé le type de code lors de la configuration initiale de votre iPhone, vous pouvez le faire à tout moment dans Réglages > Touch/Face ID et code > Changer le code. Après avoir tapé votre code actuel par mesure de sécurité, touchez Options supplémentaires. Trois options s’offrent alors à vous : Code alphanumérique perso, Code numérique perso et Code à 4 chiffres. On déconseille vraiment la dernière option, qui est la moins robuste d’entre toutes.
Code alphanumérique perso permet de définir un code contenant seulement des chiffres, des chiffres et du texte, ou seulement du texte. Les conseils sont les mêmes que pour n’importe quel mot de passe : choisissez un code unique, mais dont vous pouvez vous souvenir, et long. Pensez que vous n’aurez pas si souvent à taper ce code grâce à Touch ID ou Face ID, et que vous pouvez donc en choisir un qui prenne un peu plus de deux ou trois secondes à taper. iOS vous avertira de toute façon si le code défini est trop faible.
Code numérique perso, qui a été introduit dans iOS 9, permet de créer un code numérique plus long que six chiffres (ou plus court, jusqu’à trois chiffres, mais on le déconseille catégoriquement).
C’est une bonne solution si vous ne voulez pas taper sur les petites touches du clavier complet du code alphanumérique. Par contre, attention aux « astuces » pour prolonger facilement votre code, comme doubler chaque chiffre ou répéter plusieurs fois un chiffre, les système de déverrouillage les prennent parfois en compte pour accélérer l'attaque. Pour revenir à lui, le GrayKey a besoin en moyenne de 46 jours pour casser un code à 8 chiffres et 4 629 jours pour un à 10 chiffres. Et combien pour le code de l'utilisateur dans la vidéo ci-dessous ?
Avec FaceID perso, je dois souvent quand même taper mon mot de passe… ?♂️
@MonsieurPomme
C'est ça d'avoir un iPhone bêta. ??♀️
@TrollMan06
Ce ne sont pas nos iPhone qui sont bêtas, c’est Siri qui est bête, il faut suivre un peut mr le troll.
@TrollMan06
FaceId est parfait chez moi. Je n’ai jamais à taper mon password
« doubler chaque chiffre ou répéter plusieurs fois un chiffre. «
Surtout pas ?
L’outil utilise justement ce genre de « pattern » pour accélérer la recherche ...
@stephmouss
?
« 12341234 » reste plus fort que « 1234 »
Mais guère plus ...
@stephmouss
Avec FaceID cela m’arrive souvent pendant la journée. Donc votre affirmation sur le fait qu’il’ne faut pas le saisir souvent....
Mon amie qui a TouchID a beaucoup moins le porblème que moi...
@0MiguelAnge0
Je suis étonné. Vous savez que lorsque l'iPhone affiche le clavier pour taper le code, on n'est pas obliger de le taper? Il suffit de pencher puis relever le téléphone pour que Face ID refasse l'identification.
@phil3
Pencher relever, ou rotation et rotation inverse. Un petit coup de poignet et hop !
Bien plus rapide que toucher « annuler » puis slider vers le haut.
J'ai un client à Bamako (Mali), à qui je demandais le mot de passe du compte administrateur de son Mac. Il m'a dit:
—"Je vous l'envoie par texto !"
Et j'ai alors reçu cet sms qui sur mon iPhone faisait six lignes de texte, avec des majuscules, minuscules, chiffres et le tout en bambara...
Je lui ai dit que j'allais mettre un mot de passe à moi, et qu'il n'aurait qu'à le changer...
Je trouvais que mon password à 12 hexadécimal était long mais là...
Quid de l’option « effacer les données au bout de 10 tentatives echouées » ?
Ce boîtier ne doit pas pouvoir désactiver cette option. Il suffit d’avoir une sauvegarde (avec chiffrement activé) via iTunes pour ne pas risquer de perdre ses données bêtement, et d’avoir activé « localiser mon iphone » pour être sûr que l’iPhone même effacé ne peut être réactivé sans votre Apple ID.
@Skro
Je suis pas sûr justement ?
: si c’est une fonction iOS alors non, vu que le crack remplace iOS par un Jailbreak OS à eux ....
Et la Secure Enclave ne devrait pas pouvoir effacer le device a lui tout seul....
Édit : Ha non juste la clef d’encryption des Data serait supprimé par la Secure Enclave
Mais de ce que je lie sur la toile , la limite de 10 essais et le temps exponentiel entre 2 essais serait des fonctions SecureEnclave .
Mais le Jailbreak aurait réussi à flasher aussi le code de la SecureEnclave pour bypassed ces contre mesures ?
Reste le code lui même qu’il est impossible de récupérer avec un code pirate de la SE ?
@Skro
je me pose la même question concernant l’effacement après 10 tentatives
@Skro
«Ce boîtier ne doit pas pouvoir désactiver cette option. »
Si justement, c'est ce qui permet de casser le mot de passe par force brut. En fait, techniquement elle est pas desactivée mais contournee.
De plus l'enclave securisée ne l'est pas...
«Il suffit d’avoir une sauvegarde (avec chiffrement activé) via iTunes pour ne pas risquer de perdre ses données bêtement»
Au minimum oui. l'ideal est d'avoir un soft qui fasse un backup complet sur le Mac comme iMazing...
Commencez déjà par ne pas rentrer votre code à la vue de tous .
Combien de collègues , à la machine à café , rentrent leur code à la légère ?
Je ne me cache pas pour entrer mon code, j'ai confiance en mes collègues. J'ose aussi laisser mon porte monnaie avec mes cartes de crédit sur mon bureau.
Avec Face ID je suis obligé de mettre un code à 4 chiffres car je le saisis trop souvent ...
Warning.
Lors du changement du code il faudra de nouveau ajouter ses cartes de crédit pour Apple Pay.
@A884126
Non absolument pas ?♂️
@Sgt. Pepper
Je ne l'invente pas. Si je le précise c'est que j'ai dû refaire la manipulation après le changement du mot de passe.
@A884126
Pas pour moi ?
@Sgt. Pepper
? hum... weird .
@A884126
Ça n’a pas été le cas pour moi.
@A884126
Non plus chez moi
À l'usage, c'est juste bien casse-pied de taper de longs mots de passe. Personne ici n'a de téléphone de ministre, avec des infos ultra secrètes dedans.
Un simple code à 6 chiffres suffit amplement pour les redémarrages où chaque fois que TouchID/FaceID ne fonctionne pas (peu importe la raison).
Pas la peine de virer à la paranoïa.
@Pyjamane
Pas si compliqué de rentrer un passcode ...
@Pyjamane
Avec Touch et Face ID l'utilisation du mdp est de plus en plus rare, en tout cas en ce qui me concerne. Et j'ai un mdp de 18 caractères ?
Mon téléphone est aussi pro avec des informations confidentielles sur ma société et mes clients.
De plus, avec Apple Pay il est souhaitable de bien verrouiller son tel.
@A884126
Sans compter que connaître le code de déverrouillage permet d'ajouter sa propre empreinte et ainsi payer par ApplePay ou ouvrir toutes les applications "protégées" par touchID (1Password par exemple...)
@Pyjamane
Tout à fait d’accord.
Mettre un code a plus de 6 chiffres dans un tel perso n’a pas de sens. Surtout si c’est pour taper son code en public sans cacher l’écran.
En plus la meilleure sécurité est que on a toujours le téléphone dans la poche.
Touch ID et Face ID sont surtout pratique. Le surplus de sécurité qu’ils ajoutent est du superflus pour la plus part des gens.
Sauf usage pro avec des données client confidentielles. Mais dans ce cas, peut-être que d’autres solutions spécifiques existent plus tôt qu’un téléphone grand public.
C’est pas le déblocage par un accès physique de mon tel qui m’inquiète mais plutôt les risques d’accès par réseaux à cause d’App malveillantes ou comprenant des failles.
Et au pire, celui qui me volera mes photos de tel aura le privilège de me voir tout nu. A moins que ce ne soit un traumatisme pour lui avec risque de cauchemars récurants ... protection par inception.
@kafy28
Tu n'as ni ApplePay ni d'app de ta banque sur ton tel?
Tu n'as pas non plus 1Password ou équivalent auquel on accède via touchID?
Comme chacun, j'ai des choses confidentielles sur mon tel mais rien qui ne peut être rapidement réglé/protégé.
Si 6 chiffres nécessitent 11 heures pour être cassés, ça laisse du temps pour réagir. En plus le prix du système limite l'usage, il faut vraiment que pirater le tel en vaille le coup.
Bien entendu, la première sécurité est de garder son tel toujours avec soi.
C'est comme les clès de maison.
Une plus grande sécurité serait de mettre trois verrous ayant chacun sa propre cle sécurisé. Mais toutes cette sécurité ne serviraient à rien si les clès sont laissées sur un bureau le temps du déjeuné.
On peut faire un double tellement facilement (y compris des clès sécurisé malheureusement).
Si on me vol mon tel ou si je le perd, je vais rapidement m'en apercevoir et j'aurai le temps de changer les quelques mots de passes importants.
Si casser le code de 6 chiffres prenait 3 min et une appli à 10 Euros, ça serait différent.
C'est un équilibre entre praticité et sécurité à trouver. Et chacun à ses objectifs.
Je m'inquiète plus de la sécurité des service en ligne (cloud, banque, etc) où là, la sécurité du mot de passe se doit d'être super efficace et renouvelé régulièrement.
@kafy28
C'est pas faux.
Mais si pirater le téléphone permet de vider ton compte bancaire, acheter un boîtier de crackage de code peut être vite rentabilisé ...
@jcp25
Ajouter un Iban pour un virement sur 2 de mes banques se valide par réception d'un code à saisir sur clavier virtuel, code reçu par sms donc... sur l'iPhone que je me suis potentiellement fait voler.
La vraie sécurité c'est le code à saisir pour accéder aux comptes au lancement de l'app mais il ne faut surtout pas activer l'ouverture par touchID. Sinon le seul code de déverrouillage de l'iPhone permet d'ajouter une empreinte à touchID et donc ouvrir tout ce qui est protégé ainsi.
@Pyjamane
Tu devrais lire la saga Facebook et ce que cette entreprise fait pour permettre a des petites boite comme Cambridge Analytica... tu comprendras pourquoi les donnees sur ton telephone intéressent beaucoup de monde.
De meme la premiere information qui est intéressante pour les cybercriminels et kacker, c'est le numero de ton tel... alors tu penses, ton carnet d'adresse avec les nom, adresse et nº de tel de tous tes contacts c'est une mine d'or!
Tiens, quand je parlais de paranoïa... pourquoi irait-on voler et cracker _ton_ téléphone pour avoir ces formidables informations sur toi, quand de simple sites le font pour eux........ ?
Pour vérifier, il y a de nombreux sites. Mais les retours divergent énormément ?
https://www.google.fr/search?q=password+test&ie=UTF-8&oe=UTF-8&hl=en-fr&client=safari&safe=active
Pour trouver le code de l’iPhone de la vidéo, je pense qu’il faudrait environ 478 627 342 années, soit 174 818 636 665,5 jours, ou encore 4 195 647 279 972 heures.
Mais je me trompe certainement.
?
Le type avec son code d’iPhone ?. Une soirée trop arrosée, une amnésie passagère il est mal ?
@Rattlehead
J’espère qu’il a une mnémotechnique en béton ?
J'utilise le code "012345" je vais peut-être passer à "0123456789"... c'est plus sûr! :-)
@pao2
Utilise plutot un code a au moins 16 caracteres, avec chiffres, lettres, signe, pontuation, majuscules et minuscules... Tu peux aussi utiliser une phrase de plusieurs mots...
"attention aux « astuce »" attention aux faute"s" :-)
J'ai récemment découvert la fonction d'appel d'urgence lorsque l'on clique 5 fois sur le bouton de verrouillage.
Ça permet aussi de bloquer touch id: pratique si on craint qu'il soit utilisé contre notre gré.
Moi je prend 500 € ?
Je suis toujours surpris par des téléphones protégés en 2018 par 4 chiffres ou un geste en forme d’équerre. Depuis que c’est possible, mes iPhones, comptes et les comptes Apple ou Microsoft ont droit à une séquence d’au moins 8 digits de tous poils (correspondant à une logique qui m’est propre). Mon wifi a une pass phrase de 25 digits de la même eau. Et le tripotage du clavier en public n’est pas trop gênant vu le changement de changements de clavier (bon, faut bouger un peu pour ne pas prêter le flanc à des observations trop fines ou tourner le dos à un mur aveugle... en principe, le bidule à 15000$ devrait mettre au moins 5 ans pour en venir à bout : ça va, je vaux pas ça !
Pages