Il faut un peu plus de 11 heures pour craquer un code d'iPhone à 6 chiffres
Face ID ou Touch ID sont des sésames particulièrement efficaces pour éviter que n'importe qui vienne fouiller dans votre iPhone. Mais en bout de course, l'accès au smartphone sera aussi sécurisé que la force de son code de déverrouillage sera élevée. Apple conseille de créer un code à 6 chiffres, mais le mieux serait de mettre au point un mot de passe alphanumérique.
Matthew Green, spécialiste de la cryptographie au Johns Hopkins Information Security Institute, a sorti sa calculette pour estimer le temps nécessaire à un système de déverrouillage pour qu'il pénètre par effraction dans un iPhone. Avec des codes numériques, il faut compter en moyenne 6,5 minutes pour « craquer » un code à 4 chiffres (13 minutes dans le cas le plus long, c'est à dire si le code est compliqué).
Pour un code à 6 chiffres, la moyenne est de 11,1 heures (22,2 heures au plus long) ; un code à 8 chiffres réclame en moyenne 46 jours (92,5 jours au plus long). Enfin, un code à 10 chiffres exigera 4 629 jours en moyenne pour être craqué, soit un peu plus de 12 ans et demi (plus de 25 ans au plus long).
Ces résultats sont des chiffres théoriques et nécessitent que l'appareil qui servira à déverrouiller l'iPhone sache contourner les protections mises en place par défaut par Apple :
On ajoutera aussi l'option qui permet de vider le contenu de l'appareil après dix tentatives échouées (Touch ID et code > Effacer les données). GrayShift, la société qui a développé le boîtier GrayKey qui fait fureur chez les policiers américains, a visiblement trouvé une faille qui permet à l'appareil de passer outre cette protection.
Pour éviter de se faire craquer son iPhone, mieux vaut donc créer un code long à 10 chiffres, ou mieux encore, un mot de passe mêlant chiffres et lettres comme le recommande Harlo Holmes, de la Freedom of the Press Foundation : il comptera de 9 à 12 caractères (chiffres et lettres). Un mot de passe fort, c'est bien, mais encore faut-il pouvoir se le rappeler et le saisir rapidement : il faut trouver un équilibre et ce n'est pas toujours évident.
Pour changer le code de déverrouillage de votre iPhone ou de votre iPad, rendez-vous dans les réglages Touch ID et code > Changer le code, puis touchez Options supplémentaires et sélectionnez l'option préférée (le code à 4 chiffres est à proscrire).
Ce qui n’est pas normal est de contourner la protection qui efface l’iPhone au bout de 10 tentative...
@jimmy92250
On devrait interdire d'utiliser les failles de sécurité existantes...
Faudrait que les failles de sécurité soient protégées par un code alphanumérique a 10 symboles minimum, par exemple.
^_^
@r e m y
«On devrait interdire d'utiliser les failles de sécurité existantes...»
Legalement c'est interdit...
Ceci etant le spécialiste de la cryptographie donne ici une estimation du temps necessaire pour casser un code par force brute simple. Les boitiers pour deverouiller les smarpthones utilisent des failles materielles et dans l'OS, et ils ne s'arretent pas a de la force brute simple...
Bref, il faut comprendre qu'un iPhone ça se hack tres vite (sauf si on s'appelle Comey) et que la force brute n'est qu'une solution de hack parmi beaucoup d'autres et a commencer par celles utilisant le cloud.
@jimmy92250
Aj oui c'est de la triche !
Ce qui n'est pas normal surtout, c'est qu'Apple te vende son iPhone comme ultra sécure, joue le jeu médiatique avec les autorités en disant officiellement "on ne peut rien faire blablabla"... Alors qu'en fait avec un boitier dont le prix est minime pour une administration et une journée de son temps on déverrouille 99,9999999% des iPhone.
@TiTwo102
La retroingénierie ça existe, et les failles de sécurité sont un commerce. Pas besoin d’imaginer un complot et de supposer des complicités par-ci par-là. Si 99,999999% des iPhones sont déverouillables, c’est qu’il y a un marché pour ça.
@TiTwo102
Et j’ajouterais qu’affirmer que ça ne prend qu’une seule journée est trompeur : sans doute pour les téléphones les moins bien protégés, mais dans des affaires plus sensibles c’est loin d’être le cas. À mon avis cela sera surtout utile pour les affaires de mœurs et délits mineurs. $30000 multiplié par le nombre de commissariats susceptibles d’avoir l’utilité de ce genre d’outil, ça reste très cher. Et c’est le contribuable qui paie… Ce n’est donc pas si simple.
@TiTwo102
Enfin faut relativiser
Avec 240ms par essai ,
Et un passe code de 6 lowercase alpha /Num ,
cela peut prendre entre 240ms et ....18 years
Et , a priori, en réglant le RAZ après 10 erreurs => plus de problème ...
@iPitch93
C’est un peu la teneur du propos de Green dans son fil sur Twitter : un code à 10 chiffres offre un bon compromis entre sécurité et confort d’utilisation. Il est beaucoup plus facile d’utiliser l’interface clavier restreinte aux chiffres que d’avoir accès au clavier entier, surtout quand on doit aller vite. Un code à 10 chiffres, c’est 10 puissance 10 de combinaisons possibles. C’est ce que j’ai fait, personnellement.
Sauf que beaucoup de monde vont choisir un chiffre facile à se souvenir pour eux, donc qu'on peut trouver par engineering social. Parce que ce code est utilisé ailleurs aussi, du coup.
@byte_order
Genre les 10 chiffres de leur 06 ou 07 ?
Bon ça va perso avec Touch ID je me suis au mot de passe alpha numérique à 9 caractères. Autant dire que je suis peinard haha
@Lecorbubu
Vous autant tant de choses à cacher ??
C'est quoi, votre mot de pass Cdiscount et vos photos de barbecues en famille ?
-Ou vous travaillez chez EADS/THALES/DASSAULT et vos documents de travail sont dessus ?
@misterbrown
Il fait ce qu'il veut au pire ? ?
@misterbrown
Pas besoin de travailler dans un domaine sensible. Tu peux juste vouloir protéger tes données en cas de vol du terminal. On a de plus en plus d’informations personnelles dans nos terminaux, et l’accès à ce données peut est utilisé pour un en usurpation d’identité.
@misterbrown
perso dans le bloc note j’ai pas mal de donnée bancaire ( numéro de compte , etc....)
@davidtuga
Pourquoi ne pas utiliser une app du genre 1Password ou Enpass, sans synchronisation ni abonnement plutôt que le bloc note ?
@Jeckill13
pourquoi donnais mes donnée sensible à une appli tiers ?
@davidtuga
Tu le fais déjà avec note... que ça soit Apple ou un autre, autant augmenter la sécurité en cryptant les données et en ajoutant une sécurité d’accès. En plus dans les réglages de confidentialité tu peux bloquer les accès réseaux de l’application et le partage de données aux développeurs.
@Jeckill13
mais dans le bloc note mes donnée sont bloquée par un mot de passe et Face ID , au moins je sait que il n’y a que Apple qui peut avoir accès .
@davidtuga
"Que" Apple.... haha ;)
Oui, si ça vous rassure.
@davidtuga
Si tu verrouilles ta Note. Même Apple n’y a plus accès ...
Via iCloud, il faut rentrer le mot de passe .
"Vous autant tant de choses à cacher ??"
oui.
Essentiellement : ce que je partage en privé avec ma famille (immobiliers, info sur mes déplacements, santé, etc) via le canal insécurisé sans précautions nommé "internet"
ensuite, l'ensemble des accès à des données ou boutiques où j'ai éventuellement une liste de souhaits (non parce que je veux pas qu'on voie que ma liste amazon est essentiellement une liste de bd de canard.. hAAA mince!) , mais surtout et fondamentalement:
- ma banque en ligne
- paypal
- éventuelle plateforme de crownfunding.
- essentiellement TOUT ce que je NE veux PAS que vous ayez accès, oui VOUS. Pas un vous en général, VOUS Là précisément VOUS, l'individu ici présent. VOUS ! RAAAh ! Globalement ça inclue mon compte icloud, google, mon cloud privé (y a des bricoles dessinées, dont des dessins ratés), etc.
-
vient ensuite l'ensemble de mon activité professionnelle : messagerie pro, données confidentielles (y en a dont je dois pouvoir les récupérer en ligne), procédures d'accès etc. Mon mac de travail est cryptée filevault.
"C'est quoi, votre mot de pass Cdiscount et vos photos de barbecues en famille ?"
Essentiellement une chaîne atrocement complexe de 20 à 30 caractères, générée par un outil de type 1password, dont je me contente de coder la base avec une passe-phrase. L'outil remplit les formulaires pour moi.
"-Ou vous travaillez chez EADS/THALES/DASSAULT et vos documents de travail sont dessus ?"
La plupart des PME dans l'industrie auront des données sensibles à protéger. Mon contrat de travail a carrément une disposition sur les données sensibles auquel j'ai accès et sur ce que je risque si autrui y a accès. Pour la fluidité du travail des gens à l'international, y a effectivement des accès et outils en lignes qui doivent être sécurisés.
Ce n'est pourtant pas une société du CAC40 et je ne sors pas d'un film hollywood. Oui, le monde n'est pas un supermarché rigolo et simpliste.
@oomu
De la à tout mette dans son téléphone....
je ne sais pas pour vous, mais je moi je sors, je vais à des concerts, opéras, cinémas, salles de spectacles!
Mon téléphone est un objet que je considère comme perdable et hackable.
Alors je met le moins d'infos sensibles dedans, surtout pas dans le bloc notes!!!
Vos mots de pass ne sont peut être pas cassables, mais il y a tant de failles qu'on trouve qui permettent de contourner les systèmes, que je ne crois pas en cette sécurité qu'est un mdp/Touch ID/Face Id ou quoi que ce soit.
Quand à 1Password. Donner toutes les clefs de sa vie, numérique, a une entreprise qui peut se faire pirater, non jamais.
Vous prenez trop au premier degré mon propos et dans le sens qui satisfait vos angoisses.
Je n’ai pas parlé de tout « mettre dans son téléphone » mais y a eu l’interrogation de à quoi ça sert les mots de passe, j’ai donc donné une litanie de cas et usages.
Piochez dedans. Essayez de ne pas considérer que tout n’est pas nécessairement à votre image ou mienne.
"Vos mots de pass ne sont peut être pas cassables, mais il y a tant de failles qu'on trouve qui permettent de contourner les systèmes, que je ne crois pas en cette sécurité qu'est un mdp/Touch ID/Face Id ou quoi que ce soit."
fantasmes.
Rien n'est parfait dans le monde, mais rien n'est en sucre non plus. Faites la part des choses.
"Quand à 1Password. Donner toutes les clefs de sa vie, numérique, a une entreprise qui peut se faire pirater, non jamais."
Présupposition et préjugé
si j'ai nommé "à la 1password", je n'ai jamais dit "je stock dans le trousseau cloud de monsieur 1password, qu'on paie par abonnement". Ne l'ayant jamais dit, je n'ai donné aucun élément pour que vous croyez cela ou ne croyez pas cela.
Pourquoi donc faites vous cette conclusion ?
Je comprends que vous ayez une opinion et des choix personnels à défendre, mais c'est pas le point.
Je rappelle juste quelques raisons et autres visions des choses. Ce n'est ni un ordre, ni un jugement ni une morale, tout au plus un rappel que "il y a d'autres façons légitimes de voir les choses, exemples: ..."
pour parler de moi, sujet qui me passionne grandement, je ne synchronise pas les choses importantes sur du "cloudeuh". C'est copie locale, synchro locale (usb). Pas la fin du monde, suffit de brancher de temps à autre à un ordi. Or j'adore mon ordi.
Pour ceux sans zordi adoré, ben y a bluetooth, wifi wpa2, pour synchroniser à la cool sans dépendre d'un serveur tiers quelque part dans le monde géré par des mammifères inconnus (vous peut être ?).
-
du second degré, du second degré. j'essaie juste de vous rappeler qu'il ne faut pas tout considérer à l'aune de sa propre expérience et priorités.
@oomu
"je n'ai jamais dit "je stock dans le trousseau cloud de monsieur 1password, qu'on paie par abonnement""
Ben, moi je le fais et j'ai même pas peur ;)
Par contre, un code de 4 chiffres pour un téléphone oublié dans un bar, ça me parait franchement pas raisonnable non plus.
Rien que l'inquiétude générée dans cette situation vaut la peine de mieux sécuriser les choses.
@oomu
Quels commentaires à rallonge...
Écrivez un livre !
@oomu
La question est:
Est ce que des gens avec la volonté de le faire, veulent ils savoir pour vos PME?
Vos plans immobiliers, Crowdfunding, collections de BD?
Non.
Donc un code à 4 chiffre suffit pour un téléphone oublié dans un bar.
non, la question n'est pas celle là.
La réalité est : "on s'en fout de votre avis". Par exemple, professionnellement, on me demande pas mon avis : tu fais et pis c'est tout.
Accessoirement, c'est pas réellement à moi de décider si le travail de l'entreprise est trivial ou débile, c'est l'employeur qui le décide. Donc la question n'existe pas : on applique des règles de sécurité. Dans les entreprises les mieux organisés, les règles seront imposés à l'appareil et utilisateur par des profils et logiciels.
Pour le reste, encore une fois ce n'est pas le point: tout comme un voleur de courrier (postal) s'en fout de savoir si vous êtes super cool ou non, il prend tout, il rafle tout, il triera le soir son butin. Ce qui est exploitable sera exploité.
perso, je me pose pas la question. Je n'ai pas à gaspiller du temps à penser comme un voleur ou escroc. Je protège un minimum, point barre.
"Donc un code à 4 chiffre suffit pour un téléphone oublié dans un bar."
non. absolument pas.
-
y a un point plus "sociétal" : si tous les appareils sont verrouillés et inutilisables par un voleur. si toutes les pièces electroniques se signent les unes les autres au point d'en devenir inutile à la moindre gaffe, alors la valeur à la revente sauvage d'un appareil voléchute.
Si la valeur d'un appareil volé devient infime, il y aura moins de vol. (les voleurs se spécialiseront sur autre chose). L'un des enjeux pour la police et constructeurs est de rendre un vol économiquement idiot. Mais cela est au prix de l'accès et bidouillage des machines. A méditer.
essentiellement j'ai mis à ma maison une porte solide, des cadenas et je ferme à clé, non pas parce que j'ai peur qu'on apprenne que j'ai un Mickey géant sur ma table de chevet, mais parce que je n'ai aucune sympathie pour autrui (ni vous , particulièrement vous) et que je ne vois aucun intérêt à me mettre en danger.
Que ça soit physiquement ou via des informations sur soi, pourquoi laissez un autrui, peut être malveillant se servir. Il pourrait utiliser mes infos de déplacements, ou des photos personnelles de manière sournoises que je n'imagine pas (mon but dans la vie n'est pas de trouver des méthodes pour escroquer autrui, curieusement...).
Exemple d'il y a 6 ans: un type dans mon village natal, circulait de vielles dames en vielles dames, en leur racontant être un "enfant du pays" (pour leur vendre des trucs et/ou soutirer de l'argent). Il avait accumulé des informations sur tout un chacun, du genre nom d'enfants, profession d'untel, et j'en passe. ça faisait illusion pour se faire ouvrir la porte.
L'information est utile. La connaissance est une arme.
Je ne vois aucune raison de prendre de risques quand il s'agit simplement de mettre des mots de passes complexes, ou de ne tout simplement pas utiliser de services en lignes bidons.
La meilleure défense est de ne pas diffuser en ligne d'infos personnelles (pas de facebook où je raconte quand et où je pars).
Il n'y a aucune raison de vous exposer inutilement à des étrangers.
Sinon, vous pouvez partager avec moi votre quotidien et vos comptes, j'suis le Oomu, Bienveillant, Digne de Confiance, Vous le Savez, si je peux lire votre messagerie et tout savoir de votre famille et comptes en banques, je pourrai mieux vous conseiller. Le Oomu c'est La Confiance.
Aucune raison que j'en profite pour faire de l'usurpation à l'identité, profite de prêts à la consommation en votre nom et tente de faire un visa à votre nom avec quelques employés margoulins, il n'y en a pas.
@oomu
Les constructeurs automobiles mettent un tas de sécurité que les voitures: clefs protégées par brevet, non reproductibles, pass électroniques codées, et néanmoins, des gamins ouvrent des twingo et des Smart en qq secondes.
Une connaissance à installé un Porte blindée à son domicile: ils ont cassé le mur pour entrer chez elle!!
Voila pour les sécurités.
"Les constructeurs automobiles mettent un tas de sécurité que les voitures: clefs protégées par brevet, non reproductibles, pass électroniques codées, et néanmoins, des gamins ouvrent des twingo et des Smart en qq secondes."
exagération, à la fois dans ce que vous prêtez aux constructeurs, et à la fois aux "gamins" (les "gamins" sont souvent de jeunes adultes avec des gens qui leur ont fourni les méthodes et qui se partagent les gains : crime organisés (pas besoin de mafia hein)) et non des gavroches de 10 ans.
Il est exact que vous devez vous méfier des ordinateurs et systèmes électroniques: leur complexité est grande, les composants et logiciels proviennent de multiples acteurs de divers pays, et les constructeurs automobiles (ou de portes) ne sont pas des sociétés informatiques avec 40 ans d'expériences et pratiques.
Ce n'est donc pas mon propos : j'ai même pas de serrure électronique ou de voiture...
Mon point est: ne soyez pas un faible. N'admettez pas la Fatalité. Vous pouvez durcir la vie des margoulins: mettez des mots de passe longs. Utilisez des outils pour vous aider.
Votre propos est essentiellement :
"bah, toute façon Oomu le gamin va venir avec une perceuse, alors pourquoi je fermerais ma porte ? trop d'efforts pour rien."
Pourquoi pas ? après tout, j'adorerais me servir dans votre vie.
-
"Une connaissance à installé un Porte blindée à son domicile: ils ont cassé le mur pour entrer chez elle!!"
Depuis, votre connaissance vit la porte grande ouverte et donne son adresse sur twitter ? je peux avoir son nom de compte twitter ? C'est pour une collection.
"Les 1000 parois du Titanic-spatial ont été percées, quand est ce qu'ils comprendront qu'il fallait ajouter une couche de plus ? Quaaaaand ?"
vous ne vivrez jamais dans un monde de certitudes et de tranquillité, et vous aurez toujours des anecdotes à partager, mais ce n'est pas une raison pour se dénuder.
Triste monde tragique...
@misterbrown
Oui je préfère être prudent compte tenu du contenu de mes appareils, on est bien entendu pas dans le secret d’état mais ça comprend des données personnelles que je ne souhaiterais pas voir tomber entre de mauvaises mains.
Touch ID marchant très bien cela n’a rien d’handicapant au quotidien alors pourquoi ne pas être un peu trop prudent ?
J'avais un mot de passe alpha numérique grâce à Touch ID qui permettais de ne quasiment jamais devoir l'entrer.
Maintenant, avec l'iphone X et Face ID qui a régulièrement des problèmes pour le déverrouillage si on est pas bien en face, je suis revenu au code a 4 chiffre.
Plus sécurisé Face ID on disait? :-)
@gave06
Il suffit de pencher ton iPhone à l'horizontale puis le relever à nouveau vers toi pour déclencher à nouveau l'identification Face ID. Ça marche très bien et je n'ai jamais à saisir mon code à part quand je redémarre le téléphone, c'est-à-dire deux fois par semaine.
@Moumou92
Et pourquoi tu ne serais pas un troll toi aussi?? Car tu caresses Apple dans le sens du poil?!!
Tu es LA référence universelle?
J’ai un X aussi et il m’arrive souvent dans une journée de saisir mon code!
@gave06
Je n’ai pas Face ID mais Touch ID et je trouve que je tape régulièrement mon code de déverrouillage. Il y a souvent des occasions qui font que le code soit exigé (doigts - même légèrement - mouillés, iPhone resté dans une poche durant un moment, situation en mouvement pendant laquelle on ne peut pas positionner son doigt bien comme il faut, etc).
Ça doit dépendre de l’utilisation que l’on en fait. Si l’on est toujours calme, en intérieur, assis confortablement, on ne saisira quasiment jamais son code.
"il faut compter en moyenne 6,5 minutes pour « craquer » un code à 4 chiffres (13 minutes dans le cas le plus long, c'est à dire si le code est compliqué)."
=> C'est surtout 13 minutes si par chance le code est le dernier testé sur les 10.000 possibilités (après je suppose que 6,5 minutes représente la moyenne, et que donc il est possible de piffer le bon code dès la première tentative)
@Jacksong
Non ?
C’est parce que le logiciel teste d’abord des « patterns «
Répétition d’une même séquence : 5555, 3434,
Ou des suites 6789,...
Mais effectivement cela peut prendre aussi qq millisecondes si le code Num est trouvé au premier essai... ?
Si.
Si la moyenne est de 6,5 et le plus long est de 13 minutes cela laisse supposer qu'il fait du brute force bête (sans dictionnaire).
Ou que l'article est mal rédigé.
@Jacksong
Bien vu mais cela c’est le premier chapitre du cours de statistique, tu commences par 000000 et tu vas jusqu’à 99999 en passant à un moment inévitablement par le bon code. Probabilité 1/100000 avec calcul de la moyenne
Etc.
Tu peux aussi observer préalablement un échantillon de codes et identifier des codes plus probables (car plus utilisés -> les codes faibles) pour utiliser ceux-ci en premier pour augmenter tes chances et diminuer ton temps de crack.
À noter que les codes faibles/forts évoluent sans cesse en fonction des usagers qui modifient leur comportement (qui heureusement pour les crackeurs sont peu nombreux).
12 caractères contenant chiffres, lettres majuscules et minuscules , symboles bien sûr c’est un mélange aléatoire que j’ai appris par cœur, si c’est pour mettre des éléments pouvant être facilement identifiés, date de naissance, prénom de la copine, du chat et autre c’est pas la peine de se casser la tête.. Touch ID me permettant de ne pas avoir besoin de le saisir souvent. Et bien sûr il est différent sur mon iPad et mon mac et sur 1Password utilisé uniquement en local.
"si c’est pour mettre des éléments pouvant être facilement identifiés, date de naissance, prénom de la copine, du chat et autre c’est pas la peine de se casser la tête.. "
surtout que ce genre d'infos se trouvent relativement facilement pour les gens qui ont l'habitude. via des comptes de profils, de recherche d'emploi, d'administration (quoi ? vous avez pas un pote à la mairie ? pfff, amateur, vous pensez toujours pas en escroc), et j'en passe.
D'ailleurs vous devinerez jamais le nom de mon premier chien, c'est pas du tout un animal célèbre de la télé française. du tout.
« N’importe qui vienne », pas besoin de mettre au pluriel ?
@iDanny
Il existe un moyen de signaler les fautes ...
S’ils arrive à éviter l’effacement complet de l’iPhone après 10 tentative Apple va vite corriger cette faille. Ça va pas durait leur boîtier.
Pages