Vous pouvez encore mieux protéger votre iPhone qu'avec un code à 6 chiffres

Stéphane Moussie |

Le GrayKey, ce boîtier utilisé notamment par les pouvoirs américains pour déverrouiller des iPhone dans le cadre d’enquêtes, rappelle qu’à la base de la sécurité de l’iPhone — et de tous les autres smartphones —, il y a le code défini par l’utilisateur. Il faut au GrayKey en moyenne moins d’une demi-journée pour déverrouiller un iPhone protégé par un code standard comportant 6 chiffres.

En complexifiant la clé, on complique la tâche de ce boîtier qui opère par force brute, c’est-à-dire qui teste constamment des codes jusqu’à trouver le bon, et ce en contournant les mesures d’iOS qui sont censées le ralentir. Les options que nous allons vous présenter ne sont pas nouvelles, mais une piqûre de rappel ne fait jamais de mal, surtout à l’heure où circule une solution de déverrouillage beaucoup plus abordable que ce qui était connu jusqu’à présent — un GrayKey coûte 15 000 $ pour 300 iPhone, quand Cellebrite, un autre spécialiste, fait payer 5 000 $ pour un iPhone seulement.

Si vous n’avez pas changé le type de code lors de la configuration initiale de votre iPhone, vous pouvez le faire à tout moment dans Réglages > Touch/Face ID et code > Changer le code. Après avoir tapé votre code actuel par mesure de sécurité, touchez Options supplémentaires. Trois options s’offrent alors à vous : Code alphanumérique perso, Code numérique perso et Code à 4 chiffres. On déconseille vraiment la dernière option, qui est la moins robuste d’entre toutes.

Code alphanumérique perso permet de définir un code contenant seulement des chiffres, des chiffres et du texte, ou seulement du texte. Les conseils sont les mêmes que pour n’importe quel mot de passe : choisissez un code unique, mais dont vous pouvez vous souvenir, et long. Pensez que vous n’aurez pas si souvent à taper ce code grâce à Touch ID ou Face ID, et que vous pouvez donc en choisir un qui prenne un peu plus de deux ou trois secondes à taper. iOS vous avertira de toute façon si le code défini est trop faible.

Code numérique perso, qui a été introduit dans iOS 9, permet de créer un code numérique plus long que six chiffres (ou plus court, jusqu’à trois chiffres, mais on le déconseille catégoriquement).

C’est une bonne solution si vous ne voulez pas taper sur les petites touches du clavier complet du code alphanumérique. Par contre, attention aux « astuces » pour prolonger facilement votre code, comme doubler chaque chiffre ou répéter plusieurs fois un chiffre, les système de déverrouillage les prennent parfois en compte pour accélérer l'attaque. Pour revenir à lui, le GrayKey a besoin en moyenne de 46 jours pour casser un code à 8 chiffres et 4 629 jours pour un à 10 chiffres. Et combien pour le code de l'utilisateur dans la vidéo ci-dessous ?

Pour aller plus loin :

avatar MonsieurPomme | 

Avec FaceID perso, je dois souvent quand même taper mon mot de passe… ?‍♂️

avatar TrollMan06 | 

@MonsieurPomme

C'est ça d'avoir un iPhone bêta. ??‍♀️

avatar ya2nick | 

@TrollMan06

Ce ne sont pas nos iPhone qui sont bêtas, c’est Siri qui est bête, il faut suivre un peut mr le troll.

avatar iVador | 

@TrollMan06

FaceId est parfait chez moi. Je n’ai jamais à taper mon password

avatar Sgt. Pepper | 

« doubler chaque chiffre ou répéter plusieurs fois un chiffre. « 

Surtout pas ?

L’outil utilise justement ce genre de « pattern » pour accélérer la recherche ...

avatar Stéphane Moussie | 
@Sgt. Pepper : bonne remarque, ça m'était sorti de la tête. Je rectifie tout de suite.
avatar Sgt. Pepper | 

@stephmouss

?
« 12341234 » reste plus fort que « 1234 »

Mais guère plus ...

avatar 0MiguelAnge0 | 

@stephmouss

Avec FaceID cela m’arrive souvent pendant la journée. Donc votre affirmation sur le fait qu’il’ne faut pas le saisir souvent....

Mon amie qui a TouchID a beaucoup moins le porblème que moi...

avatar phil3 | 

@0MiguelAnge0

Je suis étonné. Vous savez que lorsque l'iPhone affiche le clavier pour taper le code, on n'est pas obliger de le taper? Il suffit de pencher puis relever le téléphone pour que Face ID refasse l'identification.

avatar DG33 | 

@phil3

Pencher relever, ou rotation et rotation inverse. Un petit coup de poignet et hop !
Bien plus rapide que toucher « annuler » puis slider vers le haut.

avatar jethro2009 | 

J'ai un client à Bamako (Mali), à qui je demandais le mot de passe du compte administrateur de son Mac. Il m'a dit:

—"Je vous l'envoie par texto !"

Et j'ai alors reçu cet sms qui sur mon iPhone faisait six lignes de texte, avec des majuscules, minuscules, chiffres et le tout en bambara...

Je lui ai dit que j'allais mettre un mot de passe à moi, et qu'il n'aurait qu'à le changer...

avatar bonnepoire | 

Je trouvais que mon password à 12 hexadécimal était long mais là...

avatar Skro | 

Quid de l’option « effacer les données au bout de 10 tentatives echouées » ?
Ce boîtier ne doit pas pouvoir désactiver cette option. Il suffit d’avoir une sauvegarde (avec chiffrement activé) via iTunes pour ne pas risquer de perdre ses données bêtement, et d’avoir activé « localiser mon iphone » pour être sûr que l’iPhone même effacé ne peut être réactivé sans votre Apple ID.

avatar Sgt. Pepper | 

@Skro

Je suis pas sûr justement ?

: si c’est une fonction iOS alors non, vu que le crack remplace iOS par un Jailbreak OS à eux ....

Et la Secure Enclave ne devrait pas pouvoir effacer le device a lui tout seul....

Édit : Ha non juste la clef d’encryption des Data serait supprimé par la Secure Enclave

Mais de ce que je lie sur la toile , la limite de 10 essais et le temps exponentiel entre 2 essais serait des fonctions SecureEnclave .
Mais le Jailbreak aurait réussi à flasher aussi le code de la SecureEnclave pour bypassed ces contre mesures ?

Reste le code lui même qu’il est impossible de récupérer avec un code pirate de la SE ?

avatar mightysmurf | 

@Skro

je me pose la même question concernant l’effacement après 10 tentatives

avatar C1rc3@0rc | 

@Skro
«Ce boîtier ne doit pas pouvoir désactiver cette option. »

Si justement, c'est ce qui permet de casser le mot de passe par force brut. En fait, techniquement elle est pas desactivée mais contournee.
De plus l'enclave securisée ne l'est pas...

«Il suffit d’avoir une sauvegarde (avec chiffrement activé) via iTunes pour ne pas risquer de perdre ses données bêtement»

Au minimum oui. l'ideal est d'avoir un soft qui fasse un backup complet sur le Mac comme iMazing...

avatar Sgt. Pepper | 

Commencez déjà par ne pas rentrer votre code à la vue de tous .

Combien de collègues , à la machine à café , rentrent leur code à la légère ?

avatar pao2 | 

Je ne me cache pas pour entrer mon code, j'ai confiance en mes collègues. J'ose aussi laisser mon porte monnaie avec mes cartes de crédit sur mon bureau.

avatar suuf | 

Avec Face ID je suis obligé de mettre un code à 4 chiffres car je le saisis trop souvent ...

avatar A884126 | 

Warning.

Lors du changement du code il faudra de nouveau ajouter ses cartes de crédit pour Apple Pay.

avatar Sgt. Pepper | 

@A884126

Non absolument pas ?‍♂️

avatar A884126 | 

@Sgt. Pepper

Je ne l'invente pas. Si je le précise c'est que j'ai dû refaire la manipulation après le changement du mot de passe.

avatar Sgt. Pepper | 

@A884126

Pas pour moi ?

avatar A884126 | 

@Sgt. Pepper

? hum... weird .

avatar Splinter | 

@A884126

Ça n’a pas été le cas pour moi.

avatar letofzurichois | 

@A884126

Non plus chez moi

avatar Pyjamane | 

À l'usage, c'est juste bien casse-pied de taper de longs mots de passe. Personne ici n'a de téléphone de ministre, avec des infos ultra secrètes dedans.
Un simple code à 6 chiffres suffit amplement pour les redémarrages où chaque fois que TouchID/FaceID ne fonctionne pas (peu importe la raison).
Pas la peine de virer à la paranoïa.

avatar Sgt. Pepper | 

@Pyjamane

Pas si compliqué de rentrer un passcode ...

avatar A884126 | 

@Pyjamane

Avec Touch et Face ID l'utilisation du mdp est de plus en plus rare, en tout cas en ce qui me concerne. Et j'ai un mdp de 18 caractères ?

Mon téléphone est aussi pro avec des informations confidentielles sur ma société et mes clients.
De plus, avec Apple Pay il est souhaitable de bien verrouiller son tel.

avatar r e m y | 

@A884126

Sans compter que connaître le code de déverrouillage permet d'ajouter sa propre empreinte et ainsi payer par ApplePay ou ouvrir toutes les applications "protégées" par touchID (1Password par exemple...)

avatar kafy28 | 

@Pyjamane

Tout à fait d’accord.
Mettre un code a plus de 6 chiffres dans un tel perso n’a pas de sens. Surtout si c’est pour taper son code en public sans cacher l’écran.
En plus la meilleure sécurité est que on a toujours le téléphone dans la poche.

Touch ID et Face ID sont surtout pratique. Le surplus de sécurité qu’ils ajoutent est du superflus pour la plus part des gens.
Sauf usage pro avec des données client confidentielles. Mais dans ce cas, peut-être que d’autres solutions spécifiques existent plus tôt qu’un téléphone grand public.

C’est pas le déblocage par un accès physique de mon tel qui m’inquiète mais plutôt les risques d’accès par réseaux à cause d’App malveillantes ou comprenant des failles.

Et au pire, celui qui me volera mes photos de tel aura le privilège de me voir tout nu. A moins que ce ne soit un traumatisme pour lui avec risque de cauchemars récurants ... protection par inception.

avatar r e m y | 

@kafy28

Tu n'as ni ApplePay ni d'app de ta banque sur ton tel?
Tu n'as pas non plus 1Password ou équivalent auquel on accède via touchID?

avatar kafy28 | 

Comme chacun, j'ai des choses confidentielles sur mon tel mais rien qui ne peut être rapidement réglé/protégé.

Si 6 chiffres nécessitent 11 heures pour être cassés, ça laisse du temps pour réagir. En plus le prix du système limite l'usage, il faut vraiment que pirater le tel en vaille le coup.

Bien entendu, la première sécurité est de garder son tel toujours avec soi.
C'est comme les clès de maison.
Une plus grande sécurité serait de mettre trois verrous ayant chacun sa propre cle sécurisé. Mais toutes cette sécurité ne serviraient à rien si les clès sont laissées sur un bureau le temps du déjeuné.
On peut faire un double tellement facilement (y compris des clès sécurisé malheureusement).

Si on me vol mon tel ou si je le perd, je vais rapidement m'en apercevoir et j'aurai le temps de changer les quelques mots de passes importants.

Si casser le code de 6 chiffres prenait 3 min et une appli à 10 Euros, ça serait différent.

C'est un équilibre entre praticité et sécurité à trouver. Et chacun à ses objectifs.

Je m'inquiète plus de la sécurité des service en ligne (cloud, banque, etc) où là, la sécurité du mot de passe se doit d'être super efficace et renouvelé régulièrement.

avatar r e m y | 

@kafy28

C'est pas faux.
Mais si pirater le téléphone permet de vider ton compte bancaire, acheter un boîtier de crackage de code peut être vite rentabilisé ...

avatar jcp25 | 

@r e m y

Pirater un téléphone ne permet en aucun cas de vider un compte bancaire !
La sécurité est en amont.
Et aucune banque sérieuse ne permet de créer des virements juste avec le code du téléphone. Il y a toujours un code sur clavier virtuel ou générateur de token externe ou déplacement à la banque pour ajouter un bénéficiaire et dans tous les cas là protection en amont du protocole SEPA.

avatar r e m y | 

@jcp25

Ajouter un Iban pour un virement sur 2 de mes banques se valide par réception d'un code à saisir sur clavier virtuel, code reçu par sms donc... sur l'iPhone que je me suis potentiellement fait voler.

La vraie sécurité c'est le code à saisir pour accéder aux comptes au lancement de l'app mais il ne faut surtout pas activer l'ouverture par touchID. Sinon le seul code de déverrouillage de l'iPhone permet d'ajouter une empreinte à touchID et donc ouvrir tout ce qui est protégé ainsi.

avatar jcp25 | 

@r e m y

Il faut aussi avoir un minimum de jugeotte.
Mais dans ce cas là, la sécurité en amont joue. La banque bloquera le virement (procédures SEPA) Et toi tu attaqueras le titulaire du compte. Donc compte non vidé. Même chose pour utilisation frauduleuse de carte de crédit applepay etc.

avatar C1rc3@0rc | 

@Pyjamane

Tu devrais lire la saga Facebook et ce que cette entreprise fait pour permettre a des petites boite comme Cambridge Analytica... tu comprendras pourquoi les donnees sur ton telephone intéressent beaucoup de monde.
De meme la premiere information qui est intéressante pour les cybercriminels et kacker, c'est le numero de ton tel... alors tu penses, ton carnet d'adresse avec les nom, adresse et nº de tel de tous tes contacts c'est une mine d'or!

avatar Pyjamane | 

Tiens, quand je parlais de paranoïa... pourquoi irait-on voler et cracker _ton_ téléphone pour avoir ces formidables informations sur toi, quand de simple sites le font pour eux........ ?

avatar A884126 | 

Pour vérifier, il y a de nombreux sites. Mais les retours divergent énormément ?

https://www.google.fr/search?q=password+test&ie=UTF-8&oe=UTF-8&hl=en-fr&client=safari&safe=active

avatar noooty | 

Pour trouver le code de l’iPhone de la vidéo, je pense qu’il faudrait environ 478 627 342 années, soit 174 818 636 665,5 jours, ou encore 4 195 647 279 972 heures.
Mais je me trompe certainement.
?

avatar Rattlehead | 

Le type avec son code d’iPhone ?. Une soirée trop arrosée, une amnésie passagère il est mal ?

avatar Shaskan | 

@Rattlehead

J’espère qu’il a une mnémotechnique en béton ?

avatar pao2 | 

J'utilise le code "012345" je vais peut-être passer à "0123456789"... c'est plus sûr! :-)

avatar C1rc3@0rc | 

@pao2

Utilise plutot un code a au moins 16 caracteres, avec chiffres, lettres, signe, pontuation, majuscules et minuscules... Tu peux aussi utiliser une phrase de plusieurs mots...

avatar domilo78 | 

"attention aux « astuce »" attention aux faute"s" :-)

avatar Stéphane Moussie | 
C'est corrigé.
avatar iDuplo | 

J'ai récemment découvert la fonction d'appel d'urgence lorsque l'on clique 5 fois sur le bouton de verrouillage.
Ça permet aussi de bloquer touch id: pratique si on craint qu'il soit utilisé contre notre gré.

avatar IRONMAN65 | 

Moi je prend 500 € ?

avatar Berechit | 

Je suis toujours surpris par des téléphones protégés en 2018 par 4 chiffres ou un geste en forme d’équerre. Depuis que c’est possible, mes iPhones, comptes et les comptes Apple ou Microsoft ont droit à une séquence d’au moins 8 digits de tous poils (correspondant à une logique qui m’est propre). Mon wifi a une pass phrase de 25 digits de la même eau. Et le tripotage du clavier en public n’est pas trop gênant vu le changement de changements de clavier (bon, faut bouger un peu pour ne pas prêter le flanc à des observations trop fines ou tourner le dos à un mur aveugle... en principe, le bidule à 15000$ devrait mettre au moins 5 ans pour en venir à bout : ça va, je vaux pas ça !

Pages

CONNEXION UTILISATEUR