Mac4Ever Refurb-Store PrixMac Guide d'achat Apple - Des conseils sur toute la gamme Apple Débuter sur Mac
Mac4Ever.com - Toute l\'actualité Apple, iPhone, iPad, iPod et Mac - Mise à jour quotidienne
Actu Dossiers Forum Photos/Podcasts Petites Annonces
Icône recherche
Annuler la recherche
1728 connectés

Une attaque en force brute pour passer outre les restrictions iOS

Forum dédié à l'actualité du monde Apple : iPhone, iPad, iPod et Mac. Vous pouvez réagir aux news ici !

Modérateur: Bicus

Une attaque en force brute pour passer outre les restrictions iOS

Messagepar arnaud le 04/06/13, 15:18

Pierre Dandumont a fait une jolie découverte : il est possible de passer outre les restriction, par code, d'iOS, par le biais d'une attaque en « force brute » utilisant un clavier externe, ou un simulateur de clavier (dans son cas, un Teensy, branché par le biais de l'adaptateur USB du kit de connexion appareil photo).

Il nous explique sa découverte sur le Blog du Lapin : « jJai trouvé une faille : quand on tape plusieurs fois un mauvais code, le clavier virtuel est bloqué pendant 1 minute, 5 minutes, 15 minutes puis 60 minutes après chaque mauvais essai. Mais si jamais on utilise un clavier physique, il est toujours possible de tenter un code. Ça fonctionne avec mon Teensy 3.0 qui émule un clavier USB mais aussi avec un clavier classique ou même un clavier Bluetooth ». La chose n'est pas rapide : dans le pire des cas, l'attaque demandera 8 heures pour être couronnée de succès, à raison d'une tentative toutes les trois secondes.



En bon « citoyen », Pierre a fait part de ses découvertes à Apple.
@arnaudmac4ever
Sac à papier !
Avatar de l’utilisateur
arnaud
Vénérable Gros - Admin
 
Messages: 24203
Inscrit le: 17/09/07, 9:20

Envoyé depuis Mac4Ever Mobile

Messagepar gillesb14 le 04/06/13, 15:32

Sauf que l'on peut mettre un code long alphanumérique et la le brute force risque de prendre très très longtemps.

Gilles
gillesb14
Mac4Everien confirmé
 
Messages: 400
Inscrit le: 26/01/09, 17:03

Envoyé depuis Mac4Ever HD pour iPad

Messagepar sebhug le 04/06/13, 15:42

Et dans mon j'ai mis le blocage après 10 tentatives alors à moins d'un coup de chance il risque de ne pas aller très loin avec la force brute ... Sinon oui c'est une faille effectivement
Avatar de l’utilisateur
sebhug
Docteur ès Mac4Ever
 
Messages: 563
Inscrit le: 28/03/10, 22:05

Envoyé depuis Mac4Ever HD pour iPad

Messagepar sebhug le 04/06/13, 15:46

Il semble que j'ai lu un peu trop vite en fait ... Le blocage après 10 tentatives ne s'applique pas dans ce cas...
Avatar de l’utilisateur
sebhug
Docteur ès Mac4Ever
 
Messages: 563
Inscrit le: 28/03/10, 22:05

Re: Une attaque en force brute pour passer outre les restric

Messagepar Arnaud de Brescia le 04/06/13, 15:49

A partir du moment où il y a accès physique à un appareil, la notion de sécurité n'a plus son sens.

Apple peut améliorer les choses, certes, mais ça pourra toujours être contourné, d'une manière ou d'une autres.
"Lasciate ogne speranza, voi ch'intrate"
Page d'accueil Windows.
Pour les autres entrez en Paradis => DEBUTER SUR MAC (made by JEN©)
Avatar de l’utilisateur
Arnaud de Brescia
Mac4Ever's Flood
 
Messages: 4232
Inscrit le: 29/03/06, 10:47

Envoyé depuis Mac4Ever Mobile

Messagepar Boumy le 04/06/13, 16:09

Non mais quand même, ici c'est une crevasse énorme. C'est la protection qui doit soutenir Find my Phone.
Powerbook 15, 1.67 Ghz, OSX 10.5.2
Boumy
Mac4Everien confirmé
 
Messages: 377
Inscrit le: 22/04/08, 11:52
Localisation: Belgique

Re :

Messagepar Fabricius le 04/06/13, 16:24

Ouais, bon bah ce sera patché à la prochaine MAJ iOS :-)
Fabricius
Mac4Everien confirmé
 
Messages: 404
Inscrit le: 25/02/08, 11:30

Re :

Messagepar toyeule le 04/06/13, 16:33

jJai trouvé une faille : quand on tape plusieurs fois un mauvais code, le clavier virtuel est bloqué pendant 1 minute, 5 minutes, 15 minutes puis 60 minutes après chaque mauvais essai. Mais si jamais on utilise un clavier physique, il est toujours possible de tenter un code.


dans le pire des cas, l'attaque demandera 8 heures pour être couronnée de succès, à raison d'une tentative toutes les trois secondes.


Résumé :
ca veut dire que si vous essayez de taper à la main tout les codes à 4 chiffres existant (1111,1112,1113,1114...) vous allez finir par trouver le code juste en plus ou moins 8 heures d'emmerdement.

Interprétation personnelle :
Du moment que vous avez accès physiquement à quelque chose il n'est plus inviolable. De la même manière (pour ceux qui ne comprennent toujours rien et utilise cet article pour dire que Apple en terme de sécurité est nul) si j'accède au coffre-fort de votre banque... je vais trouver la combinaison par "brute force". Eh oui, je vais essayer à la main tout les codes 1 par 1 jusqu'à tomber sur le bon. Est-ce que ca veut dire que votre banque est "pire" que Apple en terme de sécurité ? À votre avis ?

Alors les commentaires du style :

boumy a écrit:Non mais quand même, ici c'est une crevasse énorme. C'est la protection qui doit soutenir Find my Phone.


Excusez-moi mais ca me fait rire. Primo la protection qui doit soutenir "Find my iPhone" c'est l'utilisateur. Apple n'est pas responsable de si tu es incapable de ne pas perdre ton téléphone et encore moins de si quelqu'un te le vole, c'est à toi d'être précautionneux et de ne pas sortir ton téléphone dans des endroits "chauds" (c'est à dire "un peu partout" selon quelle ville tu habites :arrow: ).
Ensuite "C'est une crevasse énorme". En quoi avoir un code à 4 chiffre qui peut (évidement) étre craqué par n'importe qui qui essaye toutes les combinaisons existantes est une crevasse énorme ? Allez, réfléchis. Non, tu n'y arrives pas... pas grave. Je t'aide : si tu ne veux pas que quelqu'un craque ton code en utilisant toutes les combinaisons possibles alors il ne te faut pas de code mais... une clef (genre la clef de ta maison). Et là même si quelqu'un accède à ton téléphone ah ah il n'a pas la clef ! Et à ton avis, ca sera plus sécuritaire ? Non ! Alors franchement, avant de dire des conneries... juste abstient toi.
J'aime pas avoir des ordures dans mon jardin, devant ma porte, dans mon salon ou sur mon lit. Du coup... je n'aime pas avoir de la pub partout sur "mon" internet.
Avatar de l’utilisateur
toyeule
Mac4Ever's Killer
 
Messages: 1094
Inscrit le: 04/01/13, 17:32

Envoyé depuis Mac4Ever Mobile

Messagepar omega2 le 04/06/13, 17:15

10 000 h directement sur le téléphone
8h avec une puce qui simule un clavier USB

Ha oui c'est sur le niveau de sécurité est identique.

Ps: le jour ou ta banque laisse un gas tester toutes les combinaisons de ton coffre , il sera temps de changer de banque. ;)
omega2
Mac4Everien confirmé
 
Messages: 284
Inscrit le: 12/02/10, 13:10

Re :

Messagepar MacLessgy le 04/06/13, 17:19

Effectivement : @toyeule l'a bien résumé, en informatique, une fois que l'attaquant à accès physiquement au matériel, c'est foutu dans la très grande majorité des cas.



Sur le monde de l'ordinateur grand public, ça passe par les live CD/USB de distrib linux spécial qui mettent à plat toutes les sécurités dispo.

Dans le monde mobile, sur iOS et Android, ça passe en connectant divers périphérique via le port proprio/micro usb. Ici on parle de clavier externe, mais il existe des softs sur PC faisant la même chose.

Si votre iPhone/Android est volé, sauf si c'est la petite frape du quartier qui va rien en faire, il faut considérer que c'est foutu.

Le mobile est directement éteint pour annulé le blocage a distance et ensuite tranquillement via de nombreux logiciels, il ne faut que quelques minutes/heures pour avoir l'accès total.


Une très grande partie des smartphone vendu au rabais dans les pays en plein developpement (en Asie, Inde, Chine, Amérique du sud et Afrique) sont en général volé sur le marché occidental, la sécurité est cassé et l'appareil remis en config usine.



Il faut bien comprendre que les codes de sécu empêche vos amis de Bierberisé votre fond d'écran quand vous partez aux toilettes et la petite frappe du quartier d’accéder a votre téléphone.

Contre une personne qui n'a qu'un minimum de connaissance, cassé une sécurité de ce type est très rapide et facile.
MacLessgy
Mac4Everien confirmé
 
Messages: 356
Inscrit le: 27/02/13, 12:10

Re :

Messagepar ellipseBack le 04/06/13, 17:33

@toyeule

Pour une fois, c'est une faille.

En effet, le fait qu'un clavier physique contourne la protection mise par l'augmentation du temps d'entrée du code est une faille.

Il est évident que l'accès physique facilite les choses et qu'une protection sûre à 100% est inexistante.

Le but de toute protection est de rendre la vie la plus difficile possible à l'attaquant.
ellipseBack
Jeune Tourteau de Mac4Ever
 
Messages: 86
Inscrit le: 23/09/09, 19:25

Re: Une attaque en force brute pour passer outre les restric

Messagepar ptinouvo le 04/06/13, 17:45

Même avec un clavier physique ils ne trouveront pas mon code.
Karmalolo
:shock:
Avatar de l’utilisateur
ptinouvo
Bots' Hunter
 
Messages: 9930
Inscrit le: 04/02/10, 10:11

Re: Une attaque en force brute pour passer outre les restric

Messagepar Tiresias le 04/06/13, 17:49

ptinouvo a écrit:Même avec un clavier physique ils ne trouveront pas mon code.


Au hasard :
1
2
3
4

Le même code que sur tes bagages. :mrgreen:

(référence filmographique obscure et geekienne)
- FR MST3K MySTi - Ancien Libriste Aigri - Atari 400/800/600XL/800XL/65XE/130XE/800XE/XEGS/260ST/520ST/520ST+/1040STF/Mega ST/520STE/Lynx/Mega STE/TT/Jaguar/Falcon Retrogamer - Mouton Psychopathe (c) #occupydefense/Libé - Imbécile Heureux - 3 chats à la maison, vases cassés à foison - Médaille d'or du lancer d'éponge mouillée dans la tronche, JO de Montcuq 1953 -
Avatar de l’utilisateur
Tiresias
Mac4Ever's Flood
 
Messages: 4901
Inscrit le: 17/05/09, 20:30

Re: Une attaque en force brute pour passer outre les restric

Messagepar ptinouvo le 04/06/13, 18:04

Tiresias a écrit:
ptinouvo a écrit:Même avec un clavier physique ils ne trouveront pas mon code.


Au hasard :
1
2
3
4

Le même code que sur tes bagages. :mrgreen:

(référence filmographique obscure et geekienne)

Nan :P
Je n'ai pas de code
Karmalolo
:shock:
Avatar de l’utilisateur
ptinouvo
Bots' Hunter
 
Messages: 9930
Inscrit le: 04/02/10, 10:11

Re: Une attaque en force brute pour passer outre les restric

Messagepar Arnaud de Brescia le 04/06/13, 18:57

Les mecs. On vous le répète à longueur d'années : quand il y a accès physique, il n'y a plus de sécurité.

Dans le cas évoqué ici, il y a une anomalie évidente puisque un clavier physique contourne une protection et qu'il suffit de l'émuler pour en tirer profit.

Néanmoins, ceux qui comprennent cette protection comme une parade vis-à-vis de l'accès à leurs données après la perte de leur appareil, ou un moyen de le rendre inutilisable à tout voleur, se fourrent le multi-touch dans l'œil.
"Lasciate ogne speranza, voi ch'intrate"
Page d'accueil Windows.
Pour les autres entrez en Paradis => DEBUTER SUR MAC (made by JEN©)
Avatar de l’utilisateur
Arnaud de Brescia
Mac4Ever's Flood
 
Messages: 4232
Inscrit le: 29/03/06, 10:47

Suivant

Retour vers Actualité du monde Apple

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Conseils d'achat

  • Macintosh

  • iPhone, iPad & iPod

Mac Mini Indicateur rouge Informations 10/2012 629 € De nouveaux Mac mini sont attendus très prochainement, avec des puces Intel plus rapides et un GPU intégré "Iris" plus puissant. On vous conseille vraiment d'attendre ou de vous orienter vers le Refurb.
iMac Indicateur vert Informations 10/2013 1299 € Lancés fin septembre 2013 avec des processeurs Haswell, les iMac ne seront pas mis à jour avant la même période de 2014. Achetez en toute confiance. N'oubliez pas d'aller lire nos tests complets pour orienter votre choix !
Mac Pro Indicateur vert Informations 10/2013 2999 € Le Mac Pro est enfin disponible depuis décembre 2013. (Un processeur Intel Xeon E5 jusqu'à 12 cœur, jusqu'à deux processeurs graphiques AMD FirePro D700, jusqu'à 1To de stockage flash, avec son tout nouveau design). Il ne vous reste plus qu'à vous faire votre configuration idéale, et pour cela, n'oubliez pas d'aller lire nos tests complets pour orienter votre choix !
MacBook Pro Indicateur vert Informations 10/2013 1199 € Les MacBook Pro ont été mis à jour en octobre 2013 et Apple ne devrait pas les renouveler avant une bonne année. N'oubliez pas d'aller lire nos tests complets pour orienter votre choix !
MacBook Air Indicateur vert Informations 06/2013 999 € Le MacBook Air a été mis à jour en début d'été 2013 et ne devrait pas être renouvelé avant la même période, en 2014. Vous pouvez acheter sans risque ! N'oubliez pas d'aller lire nos tests complets pour orienter votre choix !
À découvrir sur Mac4Ever
b 1  b 2  b 3  b 4  b 5 
Prixmac
  • Nouveautés

  • Promos

  • Top Vente

app
A propos | Mentions légales | Contacts | Emploi | RSS | Apps