Le procureur de Manhattan a fait construire un labo à 10 millions de dollars pour craquer des iPhone
Le procureur de Manhattan, Cyrus Vance Jr., a fait construire près de ses bureaux un laboratoire à 10 millions de dollars qui lui permet de (tenter de) déverrouiller des smartphones qui sont des pièces à conviction d'enquêtes en cours. Fast Company a obtenu un accès exclusif à ce labo, placé dans une chambre d'isolation contre les fréquences radio. Il s'agit de bloquer la purge à distance commandée par les propriétaires de ces appareils…
Les smartphones à craquer sont branchés à deux ordinateurs dont le boulot est de générer des codes de déverrouillages aléatoires. La force brute ne suffit pas, il faut aussi réduire autant que possible les possibilités (le nombre de combinaisons d'un code à 4 chiffres est de 10 000, et d'un million pour un code à 6 chiffres). Ce d'autant qu'iOS intègre des mécanismes qui limitent le nombre de tentatives.
Steven Moran, le directeur de l'unité d'analyses technologiques doit alors faire preuve d'ingénierie sociale : date d'anniversaire du propriétaire de l'iPhone, équipe de baseball préférée, nom de son chien, etc. Toutes les infos personnelles sont bonnes à prendre pour tenter de deviner le code de déverrouillage d'un appareil. Moran s'est entouré de cadors des technologies, notamment des ex-militaires. Un de ses ordinateurs est en mesure de créer 26 millions de codes aléatoires en une seconde, il a aussi à sa disposition un robot qui peut retirer des composants, ainsi que des outils spécialisés pour réparer des appareils endommagés, même sévèrement.
L'équipe a du pain sur la planche : 3 000 smartphones liés à des enquêtes criminelles étaient en attente d'un miracle le jour de la visite de Fast Company. Ce labo est le premier du genre pour un procureur aux États-Unis. Cyrus Vance Jr. a décidé de lancer cette initiative il y a cinq ans, après qu'Apple a décidé de chiffrer le contenu de ses iPhone avec iOS 8 (septembre 2014) ; Google a suivi peu après.
La moitié des smartphones sont craqués dans le labo
Avant 2014, la vie était plus facile : les constructeurs coopéraient sans barguigner. Dès la réception d'un mandat du bureau de Vance, Apple ou Google récupéraient le smartphone, stockaient les données sur une clé USB et renvoyaient le tout au bureau du procureur. « Ils aimaient travailler avec les forces de l'ordre », explique Cyrus Vance Jr., « ils étaient fiers de travailler avec nous ».
Mais patatras, les révélations d'Edward Snowden en 2013 ont braqué Apple, Google, Microsoft et les autres qui ont décidé de faire de la sécurité des données et du respect de la vie privée une priorité. Les systèmes de sécurité se sont empilés et avec eux, la sensibilisation du public : il y a cinq ans, 52% des smartphones envoyés au bureau du procureur étaient verrouillés. C'est 82% aujourd'hui, un chiffre qui semble même peu élevé.
Vance et son équipe craquent environ la moitié des téléphones en leur possession. Mais dès qu'iOS ou Android sont mis à jour, il faut de nouveau y aller à tâtons pour trouver une nouvelle parade. Le procureur trouve qu'il est « fabuleux » qu'Apple puisse fournir une grande partie des données stockées dans iCloud, mais « si vous êtes un criminel sérieux, vous n'allez pas sauvegarder votre smartphone dans le nuage » (lire : Apple aurait renoncé au chiffrement de bout en bout des sauvegardes dans iCloud).
Cyrus Vance Jr. semble penser qu'Apple a déjà mis en place une porte dérobée « secrète » dans son système, avec cette justification assez étonnante : « [Apple] peut entrer dans mon téléphone tout le temps, parce qu'ils mettent à jour le système d'exploitation et ils m'envoient des messages ». Étrange théorie du complot… Le procureur estime aussi qu'Apple et Google ont décidé des règles de manière unilatérale, alors que ce n'était pas leur rôle. Il ne leur revient pas de placer le curseur entre vie privée et sécurité publique.
Des propos qui font écho à ceux du ministre américain de la Justice, William Barr, et à ceux de Donald Trump qui ont exigé d'Apple le déverrouillage de deux iPhone ayant appartenu au tireur de la base navale de Pensacola (lire : Pensacola : le gouvernement américain joue-t-il franc jeu avec Apple ?).
@macinoe
+1 👏
Ok, ici c’est un ramassis de Gilets Jaunes, LFI et RN ou quoi ? Le fameux journaliste Bouhaf, tweet sur la présence du Président à une pièce de théâtre et invite des militants à le rejoindre pour s’en prendre à lui. Il tweet également qu’il pense à envoyer sa chaussure sur le Président. 30 personnes tenteront de rentrer de force dans le théâtre pour venir s’en prendre au Président. La montée de la violence physique et verbale dans cette société est choquante, dans les commentaires les justifications de cette violence encore plus.
@Zara2stra
2- En bon français, on met M. devant le nom d’une personne de sexe masculin.
@Zara2stra
Malheureusement ce tutoiement péremptoire et agressif gâche tous vos propos
Un peu comme une cravate enfilé par dessus un survêt Addidas de kaillera de cité
@Trixie
Et la violence de tes propos ???
Ramassis : nom masculin PÉJORATIF
Réunion (de choses ou de gens de peu de valeur).
@Trixie
On peut n’être ni GJ ni RN ni LFI et s’informer correctement, auquel cas on sait bien que rien de ce que vous écrivez sur M. Bouhafs n’est vrai. Je comprends qu’en colportant ces ragots vous exprimez dans le fond votre inimitié pour M. Bouhafs et c’est votre droit le plus absolu que de ne pas apprécier son travail. Mais il y a des manières plus élégantes de le faire.
Ce procureur n'a pas besoin de connaissances technologiques pointues. Il a juste besoin, comme Donald Trump et d'autres,de faire rentrer dans l'opinion ce qu'ils pensent. Et à partir de cet instant, leurs idées seront plus faciles à mettre en œuvre.
Une réélection de Trump lui permettrait de mettre plus de forces dans un combat contre Apple. Et le risque sera plus élevé puisqu'il ne serait plus en campagne pour un nouveau mandat.
Etrange article... pas clair du tout
Déjà le code de l'iPhone ce sont uniquement des chiffres. Donc je vois pas bien ce que vient faire le nom du chien ou le nom de l'équipe préférée de base ball. A moins qu'ils essaient aussi de retrouver le mot de passe de l'Apple ID.
De plus l'article semble indiquer que la méthode c'est uniquement du brute force. Franchement j'ai des gros doutes, puisque au bout d'un nombre restreint de tentatives, il n'est plus possible d'essayer pendant un certain temps.
Et 10MUS$ juste pour une cage de farraday... heu ???
@l3chvck
"Déjà le code de l'iPhone ce sont uniquement des chiffres."
Inexact. On peut parfaitement mettre une phrase.
Des iPhone sans «s », sérieux ?
Il me semble qu'Apple interdit la mise au pluriel de ses produits, tout comme on n'écrit pas des Porsches ou des Ferraris.
J'avoue que le coup des règles de grammaire dictées par Apple, ça m'a bien fait rire..
Et inquiété aussi. C'est révélateur de la place disproportionnée d'Apple dans l'imaginaire de certains.
Apple ne dicte aucune règle de grammaire, mais est libre de décider des différentes graphies de ses marques et noms de produits.
Pour info, AirPod peut prendre la marque du pluriel (un AirPod, des AirPods)
Sauf si AirPods (avec un "s") est également une marque déposée...
[Mise à jour] vérification faite, AirPods est déposé et pas AirPod
https://www.apple.com/legal/intellectual-property/trademark/appletmlist.html
Donc on ne devrait jamais écrire AirPod sans le "s" final. Pourtant Apple le fait régulièrement, comme sur cette page: https://support.apple.com/en-us/HT209581
Le Cyrus Vance qui a libéré DSK
@ClownWorld 🤡
En échange du carnet d’adresse des meilleures entonnoirs à gencives de la région.
10 milions de dollars ! À croire que tous les malfrats ont un iphone! 😜
Il s’est fait un brin arnaquer sur le prix !
Les fournisseurs ont dû largement appuyer sur la marge des sets de tournevis pentalobe et torx 😂
Comment c’est possible d’utiliser un brute force, puisqu’au bout de quelques tentatives ratées l’iPhone se bloque et même s’efface au bout de 10 tentatives si l’option est cochée ?
@TiTwo102
En fait ils utilisent des failles de sécurité quand c’est possible pour directement accéder aux donnés ou alors au moins lever la limite d’Apple sur les mots de passe (temporisation) pour faire de la force brute
Pages