Des traces de la vérification des clés de contact pour iMessage dans iOS 16.6
iOS 16.6 pourrait bien être l'ultime version d'iOS 16 avant qu'iOS 17 ne déboule en force. Pour l'occasion Apple pourrait en profiter pour y intégrer une fonction de sécurité annoncée en décembre dernier : la vérification des clés de contact pour iMessage. La première bêta d'iOS 16.6 contient un réglage « Contact Key Verification » qui ne mène nulle part à l'heure actuelle, mais c'est le signe qu'Apple travaille sur le sujet.
Une fois configurée, la vérification des clés de contact pour iMessage va s’assurer que les messages de l'utilisateur sont uniquement envoyés aux personnes à qui ils sont destinés. Des alertes automatiques s'afficheront dans le cas où une « menace exceptionnellement sophistiquée » — Apple cite une attaque parrainée par un État — parviendrait à atteindre les serveurs et à implanter des dispositifs de mise sur écoute. Les utilisateurs pourront comparer eux-mêmes les codes de vérification des contacts.
Cette fonction se destine aux utilisateurs exposés à de sérieuses menaces numériques, comme les journalistes, les défenseurs des droits humains et les membres du gouvernement. Les autres fonctionnalités dévoilés en fin d'année dernière sont depuis disponibles, qu'il s'agisse du support des clés de sécurité 2FA ou la protection avancée des données pour iCloud.
J’adore Apple et la technologie mais franchement ça devient de plus en plus complexe, il y a tellement de choses à savoir…le lexique est gigantesque ! Et Apple représentait la simplicité à l’état pure, c’est dommage
@johndoo
C’e n’est pas la faute d’Apple, c’est simplement vivre avec son temps. La technologie permet de faire plus de choses s’unît y a 20 ans, pourquoi s’en priver. Si on ne les comprends pas il suffit de se renseigner (ou d’aller en Apple Store) pour comprendre et ça ne deviendra ainsi plus du tout compliqué :-)
@Bounty23
Pas entièrement la faute d’Apple, oui. Et autant pour ce dispositif, je ne crois pas que ça pose trop de problème car il y aura sûrement le lien vers la fiche de support dans les Réglages et ça ne sera pas activé par défaut…
En revanche là où ça me pose plus problème c’est par exemple dans les comptes rendus des exercices sur l’app Apple Watch. Lancez une course à pieds, et ensuite vous avez des dizaines de mesures aux appellations souvent ambiguës… et aucune explication. Et ce n’est pas facile de tout rechercher sur internet, surtout qu’Apple n’utilise parfois pas exactement la même appellation ou unités de mesure… idem avec la natation en piscine, j’ai galéré pour trouver l’explication sur tous les indicateurs.
Il ne serait pourtant pas compliqué de faire une fiche de support pour chaque exercice avec les indicateurs enregistrés et ce qu’ils signifient en 2 phrases… et mettre un lien vers cette fiche dans l’app (voire indiquer ce que signifie chaque donnée directement dans l’interface).
@johndoo
C’est surtout que ces fonctionnalités sont comme précisé dans l’article destinées à un usage très spécifique. Alors oui n’importe qui peut y accéder, mais les documentations sont de toute façon trouvables sur leur site.
Et comme dit plus bas, la technologie évolue, ils ne peuvent pas se cantonner à ce qu’ils ont déjà. Sinon on aurait toujours un équivalent à iPhoneOS 1.
Quelle est la faille ? :/
@Ginger bread
Les iMessage sont chiffrés de bout-en-bout avec la clef de ton contact: personne d’autre peut le lire.
Mais si un attaquant se met au milieu , et se fait passer pour ton contact , la clef est celle de l’attaquant qui pourra lire les messages.
La vérification permet de vérifier que la clef est bien celle de ton contact
@Sgt. Pepper
Est-ce que c’est ce qu’on appelle l’attaque Man in the middle ?
@AlexG
Tout à fait
L’attaquant de met au Milieu et se fait passer pour l’un et pour l’autre, relaie les messages en les déchiffrant avec sa propre clef puis les re-chiffrant avec la vraie clef du destinataire
@Sgt. Pepper
Merci 🙏🏻
@Sgt. Pepper
« L’attaquant … relaie les messages en les déchiffrant avec sa propre clef ». Je ne pense pas. A mon avis, il faut la clef privée du destinataire pour déchiffrer le message.
@Sgt. Pepper
« Mais si un attaquant se met au milieu , et se fait passer pour ton contact , la clef est celle de l’attaquant qui pourra lire les messages. »
Je pensais que le message intercepté ne pouvait être lu qu’avec la clef privée du destinataire. Ça voudrait dire que l’attaquant connaît cette clef ? Si c’est le cas, et si je comprends bien, il faudrait maintenant le couple "clef privée + appareil associé au compte iCloud " pour pouvoir décoder le message. C’est bien ça ?
@cricri13009
Vous n’avez pas tout a fait tord, mais vous avez peut-être mal saisi un point. Il faut en effet la clé privée associée à la clé publique qui a servi pour chiffrer le message afin de le déchiffrer.
Le problème c’est que sans verifier la clé publique, vous ne savez pas vraiment a qui vous envoyez vos messages. Dans le cas d’une attaque de l’homme au milieu, vous envoyez vos messages chiffrés avec la clé publique de la personne que vous « voyez » et pensez être la bonne, mais qui est celle de l’intercepteur. Et c’est donc bien sa clé a lui qui permet de déchiffrer les messages.
Donc quand vous écrivez ce qui suit, c’est vrai, parce « l’attaquant » est le destinataire.
« Je pensais que le message intercepté ne pouvait être lu qu’avec la clef privée du destinataire. Ça voudrait dire que l’attaquant connaît cette clef »
⚠️ gros bug sur la 16.5 (je ne sais pas s’ils ont corrigé avec la Beta de la 16.6) : ceux qui ont besoin de l’adaptateur Lightning vers USB n’installez pas cette mise à jour ! Un gros bug empêche l’adaptateur de fonctionner. Ils en parlent chez Macrumors forum, Reddit, etc
Argh! Et l'adaptateur Lightning/hdmi deconne à nouveau avec cette version 16.5 (à nouveau vidéo saccadée et/ou sans le son) 🤦♂️
Je me demande ce qui a justifié que la version actuelle soit numérotée « 16.5 » et non « 16.4.2 ». Je m’attendais à trouver des informations indiquant que de nombreux changements avaient été apportés sous le capot par des sites spécialisés mais rien trouvé… bizarre
C’est ce que propose Signal avec les « contacts confirmés », il était temps que la fonction soit disponible pour les iMessages, notamment si Apple veut justifier sa non adoption du RCS.
iOS va vérifier la « clé de contact » de ma voiture ? 😳
🤪