Il faut un peu plus de 11 heures pour craquer un code d'iPhone à 6 chiffres

Mickaël Bazoge |

Face ID ou Touch ID sont des sésames particulièrement efficaces pour éviter que n'importe qui vienne fouiller dans votre iPhone. Mais en bout de course, l'accès au smartphone sera aussi sécurisé que la force de son code de déverrouillage sera élevée. Apple conseille de créer un code à 6 chiffres, mais le mieux serait de mettre au point un mot de passe alphanumérique.

123456.

Matthew Green, spécialiste de la cryptographie au Johns Hopkins Information Security Institute, a sorti sa calculette pour estimer le temps nécessaire à un système de déverrouillage pour qu'il pénètre par effraction dans un iPhone. Avec des codes numériques, il faut compter en moyenne 6,5 minutes pour « craquer » un code à 4 chiffres (13 minutes dans le cas le plus long, c'est à dire si le code est compliqué).

Pour un code à 6 chiffres, la moyenne est de 11,1 heures (22,2 heures au plus long) ; un code à 8 chiffres réclame en moyenne 46 jours (92,5 jours au plus long). Enfin, un code à 10 chiffres exigera 4 629 jours en moyenne pour être craqué, soit un peu plus de 12 ans et demi (plus de 25 ans au plus long).

Ces résultats sont des chiffres théoriques et nécessitent que l'appareil qui servira à déverrouiller l'iPhone sache contourner les protections mises en place par défaut par Apple :

On ajoutera aussi l'option qui permet de vider le contenu de l'appareil après dix tentatives échouées (Touch ID et code > Effacer les données). GrayShift, la société qui a développé le boîtier GrayKey qui fait fureur chez les policiers américains, a visiblement trouvé une faille qui permet à l'appareil de passer outre cette protection.

Pour éviter de se faire craquer son iPhone, mieux vaut donc créer un code long à 10 chiffres, ou mieux encore, un mot de passe mêlant chiffres et lettres comme le recommande Harlo Holmes, de la Freedom of the Press Foundation : il comptera de 9 à 12 caractères (chiffres et lettres). Un mot de passe fort, c'est bien, mais encore faut-il pouvoir se le rappeler et le saisir rapidement : il faut trouver un équilibre et ce n'est pas toujours évident.

Pour changer le code de déverrouillage de votre iPhone ou de votre iPad, rendez-vous dans les réglages Touch ID et code > Changer le code, puis touchez Options supplémentaires et sélectionnez l'option préférée (le code à 4 chiffres est à proscrire).


avatar TrollMan06 | 

@cecemf

"S'ils arrive", "Ça va pas durait". Ouch. ?

avatar oomu | 

c'est encore plus effrayant que les failles de sécurité :)

avatar Sgt. Pepper | 

« GrayShift, la société qui a développé le boîtier GrayKey qui fait fureur chez les policiers américains, a visiblement trouvé une faille qui permet à l'appareil de passer outre cette protection. »

Une source ???

Car il me semble que la protection des 10 codes faux est assuré par la Secure Enclave ..
et donc ne peut PAS être passé outre ?

Mais comme il faut explicitement l’activer, c’est rarement le cas ?‍♂️

avatar Sgt. Pepper | 

Pour info ( ce que n’explique pas l’article ?)

Le crack est en fait un Jailbreak OS qui remplace l’iOS par un code qui fait des tentatives de code directement sur la Secure Enclave

Donc cela bypass le protection de temps exponentiel entre 2 tentatives qui est géré par du code iOS.....

avatar Jeckill13 | 

On peut s’amuser à tester son code sur ce site de Kaspersky.

https://password.kaspersky.com/fr/

avatar anonx | 

Mouais tout ça concerne les pedophiles, politiques ou terroristes, espion.

Bref chu pas concerné ?

avatar Florback | 

@anonx

En effet, tout bon citoyen qui se respecte n’a pas d’intérêt à pouvoir résister à ses méthodes pour extirper les données de l’appareil.

avatar oomu | 

ça concerne tout ceux qu'on peut monétiser une fois qu'on a volé son mobile.

Si la police peut le faire, un escroc peut le faire aussi.

avatar anonx | 

@oomu

Mouais bof.. c'est marginale.

Quel genre d'extorsion exactement? ?

Sachez vous tenir et vous aurez pas de problème au pire ?

Je signale juste pour certains.. qu'à un moment faut arrêter la paranoïa... l'imaginaire du risque va vous bouffer plus que le risque en lui même ?

avatar Shralldam | 

@anonx

Il ne s’agit pas de paranoïa mais d’un principe de précaution. Les gens ont tout intérêt à mettre un tout petit peu d’effort dans la protection de leurs données.

Je constate trop souvent le regard effaré (et incrédule) des gens qui se sont fait pirater, ce qui tend à démontrer (à mon échelle) que la plupart ne se soucie absolument pas de ce détail important, et se réfugie constamment derrière des arguments discutables du type « ouin, c’est compliqué ».

Avec un peu d’ingénierie sociale et de malice, on peut jouer des mauvais tours à pas mal de gens. Et il n’y a pas forcément besoin d’un enjeu géostratégique ou une cause mondiale pour que ça se produise.

avatar r e m y | 

@anonx

Pour peu que l'app de ta banque soit sur ton iPhone, une fois le code de déverrouillage de l'iPhone obtenu on peut ouvrir cette app et accéder à tes comptes bancaires pour les vider en faisant des virements.
L'ouverture de l'app est protégée par touchID? Peu importe! Avec le code de déverrouillage de l'iPhone on peut ajouter une nouvelle empreinte...

Créer un nouveau virement est protégé par double identification? Ça tombe bien tu as déclaré l'iPhone comme appareil de confiance pour recevoir le code de validation...

avatar anonx | 

@r e m y

Merci pour ton exemple c'est ce que je cherche... des exemples :)

Pour la banque, il y a un code d'authentification à 8 chiffres pour ouvrir l'application ?

avatar r e m y | 

@anonx

Tu n'as pas activé l'ouverture par touchID, pour éviter de saisir ce code? Beaucoup le font pourtant... c'est super pratique.

avatar anonx | 

@r e m y

C'était pratique mais maintenant il faut appuyer sur le bouton pour activer la demande Touch ID ?

Mais après tu as encore le code pour synchroniser les comptes ?

avatar r e m y | 

@anonx

En tous cas, touchID je ne l'active sur aucune app car si c'est effectivement pratique, ça constitute une vraie faiblesse en cas de vol de l'iPhone avec extorsion sous la menace du code de déverrouillage (ou crackage du code).
Avec ce code le voleur peut saisir son empreinte et ensuite déverrouiller toutes les apps protégées par touchID (comptes bancaires, 1Password...)

avatar jcp25 | 

@r e m y

Je ne sais pas quelle est ta banque mais tu devrais en changer !
Les miennes demandent soit un mot de passe spécifique soit un code sorti d'un générateur de token.
Si les informations sont vraiment sensible, il faut 10secondes et un trombone pour rentrer dans ton téléphone.
Deux types te tombent dessus te mettent le trombone sur l'œil et te donne 5 secondes pour donner ton code et celui de 1password. Et comme tu n'as pas envie d'être borgne ou aveugle.
La sécurité informatique est beaucoup plus compliquée que ce qu'on lit ici.
Posez-vous la question des quatre chiffres sur les cartes de crédit ou la vérification des signatures. La sécurité est en amont. Comme sans toute entreprise devant pour quelque raison que ce soit sécuriser ses données. Et dans ce cas, votre téléphone est pré configuré et il n'y a aucune donnée sensible dedans.
Mais si cela amuse certains de jouer à l'agent secret, pourquoi pas.

avatar r e m y | 

@jcp25

Peu importe le mot de passe associé à l'application de ta banque si elle propose dans ses options, de substituer à la saisie du mot de passe le déverrouillage par touchID, ce que beaucoup proposent (tout comme 1Password).
Personnellement je n'active jamais ce choix pour obliger à saisir le mot de passe, mais je suis sûr que beaucoup optent pour le déverrouillage par touchID (ou faceID), tellement plus rapide.
Je veux juste alerter sur le danger potentiel de ce choix, car il suffit alors de connaître le code de déverrouillage de l'iPhone pour ajouter son empreinte et avoir alors accès à toutes les apps utilisant touchID.

avatar oomu | 

quand on parle d'exploitation, il faut juste imaginer des arnaques aux banques (ça peut vous provoquer qu'on vous met en interdit bancaire et il vous faut montrer patte blanche, pas la fin du monde, mais c'est chiant)
ou de falsification d'identité.

alors c'est ptet rare (quoique, quand on lit les études...), mais quand ça tombe sur soi, ben c'est chiant aussi.

Pourquoi voulez vous être un j'm'enfoutiste ? c'est pas la mer à boire.

-
après de part mon métier (admin système en université et entreprises), j'ai vu régulièrement des gens tomber des nues une fois piratés ou ayant été victime d'une arnaque.

Il n'y a aucune raison donc que je vous mente en disant "lol ça n'arrive qu'à Bruce Willis dans un film ,dort".

D'un autre coté, pas la peine d'angoisser chaque matin non plus, bien sur.

ne prenez pas un propos de "ne vous en foutez pas" en un sensationnaliste cataclysmique message d'angoisse. je bosse pas à la télé moi. je n'ai rien à vous vendre.

avatar anonx | 

@oomu

"D'un autre coté, pas la peine d'angoisser chaque matin non plus, bien sur."

Oui voilà le fond de ma pensée ;)

Ajouter 2 chiffres ou un nom ça mange pas de pain c'est vrai

avatar byte_order | 

@anonx

Y'a pas que vos données personnelles qui peuvent avoir de la valeur. Effectivement, vos données ont probablement plus de valeur pour vous que pour beaucoup d'autres personnes.

Mais la sécurité d'accès ne protège pas que les données personnelles.
Elle protège également de l'usurpation d'identité.

Et ça, votre identité, vous la faire voler, cela peut concerner n'importe qui.
N'importe qui a une identité de valeur, car authentique, pour qui cherche à dissimuler la sienne, d'identité.

Dans un monde où l'information est devenu un bien marchand, son authenticité est ce qui a le plus de valeur, avant même son contenu.

avatar anonx | 

@byte_order

L'usurpation d'identité est une faiblesse de notre administration publique..

Le problème (comme énormément d'autres) est la lenteur, la flemmardise, l'incompétence de notre administration ou justice à agir!

avatar asseb | 

N’oublions pas qu’un code du style LaVillettePandaRoux est bien plus sécurisé que X6$T1@%

avatar Link1993 | 

@asseb

Oui, et non...
Ça dépend comment tu lances l’attaque. Par dico ? Ça sera résolu facilement. Caractère par caractère ? La, oui ! ^^

https://youtu.be/3NjQ9b3pgIg

avatar oomu | 

peu probable par dico, parce qu'il faut associer "la villette" à "panda roux", ce qui est peu probable.

ce qui compte est l'entropie : le manque de cohérence et logique.

Exemple

"ChevalDansCasseroleAVénusNeMoussePas" , y a que des mots du dico ça sera pourtant très robuste à toute heuristique et techniques statistiques actuelles.

avatar vince29 | 

Sauf qu'il ne pioche que 2 termes dans le dico. Ce qui est très insuffisant.

avatar Yoskiz (non vérifié) | 

C’est bien gentil tout ça mais déjà un code à 6 chiffres c’est déjà pas mal et en plus même si on perd son iPhone il faudrait que la personne est les bons outils pour forcer l’iPhone... ce qui est quand même rare je pense.

Le risque est surtout les mots de passes trop simple et identique utiliser sur plusieurs services... ça c’est plus inquiétant.

avatar oomu | 

"Le risque est surtout les mots de passes trop simple et identique utiliser sur plusieurs services... ça c’est plus inquiétant."

ça c'est bien vrai.

même mot de passe partout = c'est l'élément le plus fragile qui va tout faire tomber.

avatar Yoskiz (non vérifié) | 

On est bien d’accord que pour craquer un code à 6 chiffres en 11 heures il faut un appareil spécial ?

Donc c’est pas donné à tout le monde ?

Il y a aussi d’autres risques, qui sait on peut peut-être se faire capter ses mots de passe en étant sur un site corrompu via un keylogger même sur iOS ? Un avis là dessus ?

avatar pillouti | 

Je suis peinard avec mes 25 caractères. Enfin, sauf si on m’arrache mon pouce.

avatar byte_order | 

Pourquoi s'embêter à l'arracher (c'est pas si facile à faire, hein), quand il suffit de pointer un cutter sous la jugulaire et te dire "pose ton doigt ici ou je te saigne" ?

avatar oomu | 

surtout qu'un doigt mort devient vite inutilisable sans précaution (chambre froide)

quand à l'agression physique, c'est un coup à foirer l'identification et verrouiller l'iphone

avec face id, c'est yeux fermés.

Va falloir que le voleur tue, je le crains...

ha chienne de vie.

avatar A884126 | 

12 ans pour un code à 10 chiffres ?
Hum... Je viens de faire un test avec un code à 15 chiffres sur :

https://howsecureismypassword.net
Ils annoncent 7 heures seulement.

Et ici 4 siècles
https://password.kaspersky.com

Qui dit mieux ? Ou vrai ? ?

avatar oomu | 

dépend de l'entropie (complexité en gros) du mot de passe et des algos/hash de chiffrage.

du coup, ça laisse une marge d'appréciations à ce genre d'outils pour vous donner une estimation.

avatar A884126 | 

@oomu

Le mdp testé est évidemment le même.
Entre 7H et 4 siècles, l'appréciation est particulièrement appréciable. ?

avatar byte_order | 

Un peu comme pour les retombées radioactives, c'est selon les intérêts personnels...

avatar oomu | 

je résume la pensée facile:

toute façon hein étant donné que je peux pas échapper à la probabilité qu'un terroriste me tombe sur la tête (ou qu'une comète me pose une bombe), je vis sans me prendre la tête avec des précautions, LAULEUH !

pourquoi pas? après tout hein, pourquoi s'emmerder ? On improvisera sur le moment, pfiulalalala...

avatar byte_order | 

@oomu

Oh là, c'est pas forcément une pensée "facile", au contraire.
Cela peut parfaitement être un choix de ne pas s'angoisser ni se compliquer la vie pour un risque que l'on juge soit inévitable soit trop imprévisible pour pouvoir s'en prémunir réellement efficacement sans des conséquences néfastes au quotidien.

Tout est une question de compromis bénéfices / pertes, et chacun n'a pas le même seuil.

avatar Netezda | 

Si c’était « aussi simple », pourquoi le FBI a mit un temps fou pour déverrouiller l’iPhone d’un terroriste ?

Pages

CONNEXION UTILISATEUR