Mac4Ever Refurb Store PrixMac Guide d'achat Apple - Des conseils sur toute la gamme Apple Débuter sur Mac
Mac4Ever.com - Toute l\'actualité Apple, iPhone, iPad, iPod et Mac - Mise à jour quotidienne
Actu Dossiers Forum Photos/Podcasts Petites Annonces
Icône recherche
Annuler la recherche
3325 connectés

Une attaque en force brute pour passer outre les restrictions iOS

Forum dédié à l'actualité du monde Apple : iPhone, iPad, iPod et Mac. Vous pouvez réagir aux news ici !

Modérateur: Bicus

Une attaque en force brute pour passer outre les restrictions iOS

Messagepar arnaud le 04/06/13, 15:18

Pierre Dandumont a fait une jolie découverte : il est possible de passer outre les restriction, par code, d'iOS, par le biais d'une attaque en « force brute » utilisant un clavier externe, ou un simulateur de clavier (dans son cas, un Teensy, branché par le biais de l'adaptateur USB du kit de connexion appareil photo).

Il nous explique sa découverte sur le Blog du Lapin : « jJai trouvé une faille : quand on tape plusieurs fois un mauvais code, le clavier virtuel est bloqué pendant 1 minute, 5 minutes, 15 minutes puis 60 minutes après chaque mauvais essai. Mais si jamais on utilise un clavier physique, il est toujours possible de tenter un code. Ça fonctionne avec mon Teensy 3.0 qui émule un clavier USB mais aussi avec un clavier classique ou même un clavier Bluetooth ». La chose n'est pas rapide : dans le pire des cas, l'attaque demandera 8 heures pour être couronnée de succès, à raison d'une tentative toutes les trois secondes.



En bon « citoyen », Pierre a fait part de ses découvertes à Apple.
@arnaudmac4ever
Sac à papier !
Avatar de l’utilisateur
arnaud
Mac4Ever's Flood
 
Messages: 24203
Inscrit le: 17/09/07, 9:20

Envoyé depuis Mac4Ever Mobile

Messagepar gillesb14 le 04/06/13, 15:32

Sauf que l'on peut mettre un code long alphanumérique et la le brute force risque de prendre très très longtemps.

Gilles
gillesb14
Mac4Everien confirmé
 
Messages: 401
Inscrit le: 26/01/09, 17:03

Envoyé depuis Mac4Ever HD pour iPad

Messagepar sebhug le 04/06/13, 15:42

Et dans mon j'ai mis le blocage après 10 tentatives alors à moins d'un coup de chance il risque de ne pas aller très loin avec la force brute ... Sinon oui c'est une faille effectivement
Avatar de l’utilisateur
sebhug
Docteur ès Mac4Ever
 
Messages: 564
Inscrit le: 28/03/10, 22:05

Envoyé depuis Mac4Ever HD pour iPad

Messagepar sebhug le 04/06/13, 15:46

Il semble que j'ai lu un peu trop vite en fait ... Le blocage après 10 tentatives ne s'applique pas dans ce cas...
Avatar de l’utilisateur
sebhug
Docteur ès Mac4Ever
 
Messages: 564
Inscrit le: 28/03/10, 22:05

Re: Une attaque en force brute pour passer outre les restric

Messagepar Arnaud de Brescia le 04/06/13, 15:49

A partir du moment où il y a accès physique à un appareil, la notion de sécurité n'a plus son sens.

Apple peut améliorer les choses, certes, mais ça pourra toujours être contourné, d'une manière ou d'une autres.
"Lasciate ogne speranza, voi ch'intrate"
Page d'accueil Windows.
Pour les autres entrez en Paradis => DEBUTER SUR MAC (made by JEN©)
Avatar de l’utilisateur
Arnaud de Brescia
Mac4Ever's Flood
 
Messages: 4232
Inscrit le: 29/03/06, 10:47

Envoyé depuis Mac4Ever Mobile

Messagepar Boumy le 04/06/13, 16:09

Non mais quand même, ici c'est une crevasse énorme. C'est la protection qui doit soutenir Find my Phone.
Powerbook 15, 1.67 Ghz, OSX 10.5.2
Boumy
Mac4Everien confirmé
 
Messages: 395
Inscrit le: 22/04/08, 11:52
Localisation: Belgique

Re :

Messagepar Fabricius le 04/06/13, 16:24

Ouais, bon bah ce sera patché à la prochaine MAJ iOS :-)
Fabricius
Mac4Everien confirmé
 
Messages: 443
Inscrit le: 25/02/08, 11:30

Re :

Messagepar toyeule le 04/06/13, 16:33

jJai trouvé une faille : quand on tape plusieurs fois un mauvais code, le clavier virtuel est bloqué pendant 1 minute, 5 minutes, 15 minutes puis 60 minutes après chaque mauvais essai. Mais si jamais on utilise un clavier physique, il est toujours possible de tenter un code.


dans le pire des cas, l'attaque demandera 8 heures pour être couronnée de succès, à raison d'une tentative toutes les trois secondes.


Résumé :
ca veut dire que si vous essayez de taper à la main tout les codes à 4 chiffres existant (1111,1112,1113,1114...) vous allez finir par trouver le code juste en plus ou moins 8 heures d'emmerdement.

Interprétation personnelle :
Du moment que vous avez accès physiquement à quelque chose il n'est plus inviolable. De la même manière (pour ceux qui ne comprennent toujours rien et utilise cet article pour dire que Apple en terme de sécurité est nul) si j'accède au coffre-fort de votre banque... je vais trouver la combinaison par "brute force". Eh oui, je vais essayer à la main tout les codes 1 par 1 jusqu'à tomber sur le bon. Est-ce que ca veut dire que votre banque est "pire" que Apple en terme de sécurité ? À votre avis ?

Alors les commentaires du style :

boumy a écrit:Non mais quand même, ici c'est une crevasse énorme. C'est la protection qui doit soutenir Find my Phone.


Excusez-moi mais ca me fait rire. Primo la protection qui doit soutenir "Find my iPhone" c'est l'utilisateur. Apple n'est pas responsable de si tu es incapable de ne pas perdre ton téléphone et encore moins de si quelqu'un te le vole, c'est à toi d'être précautionneux et de ne pas sortir ton téléphone dans des endroits "chauds" (c'est à dire "un peu partout" selon quelle ville tu habites :arrow: ).
Ensuite "C'est une crevasse énorme". En quoi avoir un code à 4 chiffre qui peut (évidement) étre craqué par n'importe qui qui essaye toutes les combinaisons existantes est une crevasse énorme ? Allez, réfléchis. Non, tu n'y arrives pas... pas grave. Je t'aide : si tu ne veux pas que quelqu'un craque ton code en utilisant toutes les combinaisons possibles alors il ne te faut pas de code mais... une clef (genre la clef de ta maison). Et là même si quelqu'un accède à ton téléphone ah ah il n'a pas la clef ! Et à ton avis, ca sera plus sécuritaire ? Non ! Alors franchement, avant de dire des conneries... juste abstient toi.
J'aime pas avoir des ordures dans mon jardin, devant ma porte, dans mon salon ou sur mon lit. Du coup... je n'aime pas avoir de la pub partout sur "mon" internet.
Avatar de l’utilisateur
toyeule
Mac4Ever's Killer
 
Messages: 1094
Inscrit le: 04/01/13, 17:32

Envoyé depuis Mac4Ever Mobile

Messagepar omega2 le 04/06/13, 17:15

10 000 h directement sur le téléphone
8h avec une puce qui simule un clavier USB

Ha oui c'est sur le niveau de sécurité est identique.

Ps: le jour ou ta banque laisse un gas tester toutes les combinaisons de ton coffre , il sera temps de changer de banque. ;)
omega2
Mac4Everien confirmé
 
Messages: 316
Inscrit le: 12/02/10, 13:10

Re :

Messagepar MacLessgy le 04/06/13, 17:19

Effectivement : @toyeule l'a bien résumé, en informatique, une fois que l'attaquant à accès physiquement au matériel, c'est foutu dans la très grande majorité des cas.



Sur le monde de l'ordinateur grand public, ça passe par les live CD/USB de distrib linux spécial qui mettent à plat toutes les sécurités dispo.

Dans le monde mobile, sur iOS et Android, ça passe en connectant divers périphérique via le port proprio/micro usb. Ici on parle de clavier externe, mais il existe des softs sur PC faisant la même chose.

Si votre iPhone/Android est volé, sauf si c'est la petite frape du quartier qui va rien en faire, il faut considérer que c'est foutu.

Le mobile est directement éteint pour annulé le blocage a distance et ensuite tranquillement via de nombreux logiciels, il ne faut que quelques minutes/heures pour avoir l'accès total.


Une très grande partie des smartphone vendu au rabais dans les pays en plein developpement (en Asie, Inde, Chine, Amérique du sud et Afrique) sont en général volé sur le marché occidental, la sécurité est cassé et l'appareil remis en config usine.



Il faut bien comprendre que les codes de sécu empêche vos amis de Bierberisé votre fond d'écran quand vous partez aux toilettes et la petite frappe du quartier d’accéder a votre téléphone.

Contre une personne qui n'a qu'un minimum de connaissance, cassé une sécurité de ce type est très rapide et facile.
MacLessgy
Mac4Everien confirmé
 
Messages: 356
Inscrit le: 27/02/13, 12:10

Re :

Messagepar ellipseBack le 04/06/13, 17:33

@toyeule

Pour une fois, c'est une faille.

En effet, le fait qu'un clavier physique contourne la protection mise par l'augmentation du temps d'entrée du code est une faille.

Il est évident que l'accès physique facilite les choses et qu'une protection sûre à 100% est inexistante.

Le but de toute protection est de rendre la vie la plus difficile possible à l'attaquant.
ellipseBack
Jeune Tourteau de Mac4Ever
 
Messages: 90
Inscrit le: 23/09/09, 19:25

Re: Une attaque en force brute pour passer outre les restric

Messagepar ptinouvo le 04/06/13, 17:45

Même avec un clavier physique ils ne trouveront pas mon code.
Karmalolo
:shock:
Avatar de l’utilisateur
ptinouvo
Bots' Hunter
 
Messages: 10426
Inscrit le: 04/02/10, 10:11

Re: Une attaque en force brute pour passer outre les restric

Messagepar Tiresias le 04/06/13, 17:49

ptinouvo a écrit:Même avec un clavier physique ils ne trouveront pas mon code.


Au hasard :
1
2
3
4

Le même code que sur tes bagages. :mrgreen:

(référence filmographique obscure et geekienne)
- FR MST3K MySTi - Ancien Libriste Aigri - Atari 400/800/600XL/800XL/65XE/130XE/800XE/XEGS/260ST/520ST/520ST+/1040STF/Mega ST/520STE/Lynx/Mega STE/TT/Jaguar/Falcon Retrogamer - Mouton Psychopathe (c) #occupydefense/Libé - Imbécile Heureux - 3 chats à la maison, vases cassés à foison - Médaille d'or du lancer d'éponge mouillée dans la tronche, JO de Montcuq 1953 -
Avatar de l’utilisateur
Tiresias
Mac4Ever's Flood
 
Messages: 4905
Inscrit le: 17/05/09, 20:30

Re: Une attaque en force brute pour passer outre les restric

Messagepar ptinouvo le 04/06/13, 18:04

Tiresias a écrit:
ptinouvo a écrit:Même avec un clavier physique ils ne trouveront pas mon code.


Au hasard :
1
2
3
4

Le même code que sur tes bagages. :mrgreen:

(référence filmographique obscure et geekienne)

Nan :P
Je n'ai pas de code
Karmalolo
:shock:
Avatar de l’utilisateur
ptinouvo
Bots' Hunter
 
Messages: 10426
Inscrit le: 04/02/10, 10:11

Re: Une attaque en force brute pour passer outre les restric

Messagepar Arnaud de Brescia le 04/06/13, 18:57

Les mecs. On vous le répète à longueur d'années : quand il y a accès physique, il n'y a plus de sécurité.

Dans le cas évoqué ici, il y a une anomalie évidente puisque un clavier physique contourne une protection et qu'il suffit de l'émuler pour en tirer profit.

Néanmoins, ceux qui comprennent cette protection comme une parade vis-à-vis de l'accès à leurs données après la perte de leur appareil, ou un moyen de le rendre inutilisable à tout voleur, se fourrent le multi-touch dans l'œil.
"Lasciate ogne speranza, voi ch'intrate"
Page d'accueil Windows.
Pour les autres entrez en Paradis => DEBUTER SUR MAC (made by JEN©)
Avatar de l’utilisateur
Arnaud de Brescia
Mac4Ever's Flood
 
Messages: 4232
Inscrit le: 29/03/06, 10:47

Suivant

Retour vers Actualité du monde Apple

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Conseils d'achat

  • Macintosh

  • iPhone, iPad & iPod

iMac Retina Indicateur vert Informations 10/2014 2599 € L'iMac Retina est sorti le 16 octobre, et cette machine ne devrait pas être mise à jour avant une bonne année. Vous pouvez acheter en toute quiétude.
iMac Indicateur orange Informations 06/2014 1099 € L'iMac Retina est sorti le 16 octobre, mais Apple n'en a pas profité pour rafraichir la gamme (vieillissante) d'iMac traditionnels. Si le rapport qualité/prix est toujours bon, leur GPU prend de l'âge et l'on aimerait bien voir arriver du Thunderbolt 2, par exemple. Il n'est pas impossible qu'Apple les renouvelle début 2015.
Mac Mini Indicateur vert Informations 10/2014 499 € Le Mac mini vient tout juste d'être mis à jour et apporte quelques améliorations notables, comme Thunderbolt 2, WiFi ac. Son prix a également fortement baissé, mais au prix d'un boiter moins évolutif (RAM soudée) et d'absence de quadri-coeur. Vous pouvez acheter sans risque, mais regardez aussi du côté du Refurb !
Mac Pro Indicateur orange Informations 10/2013 2999 € Le nouveau Mac Pro est disponible depuis décembre 2013 et Apple devrait profiter de la fin de l'année (voire du début 2015) pour lui offrir de nouveaux Xeon, déjà présentés par Intel. Notre conseil : attendez !
MacBook Pro Indicateur vert Informations 07/2014 1099 € Les MacBook Pro ont été mis à jour en juillet 2014 : +200Mhz côté CPU et 16GO de RAM sur tous les modèles. Pas de changement côté GPU, et pas de gros renouvellement prévu avant 2015. Vous pouvez acheter en toute sécurité, même si les plus geeks préféreront attendre une "vraie" mise à jour l'an prochain.
MacBook Air Indicateur orange Informations 04/2014 899 € Le MacBook Air a été mis à jour en Avril 2014, mais les améliorations sont peu nombreuses (+ 100MHz et 100€ en moins). Si vous avez besoin de ce modèle, jetez un œil sur le Refurb avant de vous décider. Vous pourrez trouver une machine de 2013 avec des caractéristiques quasi similaires. Si vous optez pour une machine neuve, le 11" est le portable par excellence qui pourra vous suivre partout. Et n'oubliez pas de booster la RAM à 8Go et, si possible, de choisir le SSD de 512Go. Il se murmure qu'un nouveau modèle (12") pourrait faire bientôt son apparition... MAJ probable début 2015.
À découvrir sur Mac4Ever
b 1  b 2  b 3  b 4  b 5 
Prixmac
  • Nouveautés

  • Promos

  • Top Vente

app
  • Nouveautés

  • Gratuites

  • Payantes

A propos | Mentions légales | Contacts | Emploi | RSS | Apps