Mac4Ever Refurb Store PrixMac Guide d'achat Apple - Des conseils sur toute la gamme Apple Débuter sur Mac
Mac4Ever.com - Toute l\'actualité Apple, iPhone, iPad, iPod et Mac - Mise à jour quotidienne
Actu Dossiers Forum Photos/Podcasts Petites Annonces
Icône recherche
Annuler la recherche
3326 connectés

Une attaque en force brute pour passer outre les restrictions iOS

Forum dédié à l'actualité du monde Apple : iPhone, iPad, iPod et Mac. Vous pouvez réagir aux news ici !

Modérateur: Bicus

Une attaque en force brute pour passer outre les restrictions iOS

Message par arnaud le 04/06/13, 15:18

Pierre Dandumont a fait une jolie découverte : il est possible de passer outre les restriction, par code, d'iOS, par le biais d'une attaque en « force brute » utilisant un clavier externe, ou un simulateur de clavier (dans son cas, un Teensy, branché par le biais de l'adaptateur USB du kit de connexion appareil photo).

Il nous explique sa découverte sur le Blog du Lapin : « jJai trouvé une faille : quand on tape plusieurs fois un mauvais code, le clavier virtuel est bloqué pendant 1 minute, 5 minutes, 15 minutes puis 60 minutes après chaque mauvais essai. Mais si jamais on utilise un clavier physique, il est toujours possible de tenter un code. Ça fonctionne avec mon Teensy 3.0 qui émule un clavier USB mais aussi avec un clavier classique ou même un clavier Bluetooth ». La chose n'est pas rapide : dans le pire des cas, l'attaque demandera 8 heures pour être couronnée de succès, à raison d'une tentative toutes les trois secondes.



En bon « citoyen », Pierre a fait part de ses découvertes à Apple.
@arnaudmac4ever
Sac à papier !
Avatar de l’utilisateur
arnaud
Mac4Ever's Flood
 
Message(s) : 24227
Inscription : 17/09/07, 9:20

Envoyé depuis Mac4Ever Mobile

Message par gillesb14 le 04/06/13, 15:32

Sauf que l'on peut mettre un code long alphanumérique et la le brute force risque de prendre très très longtemps.

Gilles
gillesb14
Mac4Everien confirmé
 
Message(s) : 405
Inscription : 26/01/09, 17:03

Envoyé depuis Mac4Ever HD pour iPad

Message par sebhug le 04/06/13, 15:42

Et dans mon j'ai mis le blocage après 10 tentatives alors à moins d'un coup de chance il risque de ne pas aller très loin avec la force brute ... Sinon oui c'est une faille effectivement
Avatar de l’utilisateur
sebhug
Docteur ès Mac4Ever
 
Message(s) : 566
Inscription : 28/03/10, 22:05

Envoyé depuis Mac4Ever HD pour iPad

Message par sebhug le 04/06/13, 15:46

Il semble que j'ai lu un peu trop vite en fait ... Le blocage après 10 tentatives ne s'applique pas dans ce cas...
Avatar de l’utilisateur
sebhug
Docteur ès Mac4Ever
 
Message(s) : 566
Inscription : 28/03/10, 22:05

Re: Une attaque en force brute pour passer outre les restric

Message par Arnaud de Brescia le 04/06/13, 15:49

A partir du moment où il y a accès physique à un appareil, la notion de sécurité n'a plus son sens.

Apple peut améliorer les choses, certes, mais ça pourra toujours être contourné, d'une manière ou d'une autres.
"Lasciate ogne speranza, voi ch'intrate"
Page d'accueil Windows.
Pour les autres entrez en Paradis => DEBUTER SUR MAC (made by JEN©)
Avatar de l’utilisateur
Arnaud de Brescia
Mac4Ever's Flood
 
Message(s) : 4232
Inscription : 29/03/06, 10:47

Envoyé depuis Mac4Ever Mobile

Message par Boumy le 04/06/13, 16:09

Non mais quand même, ici c'est une crevasse énorme. C'est la protection qui doit soutenir Find my Phone.
Powerbook 15, 1.67 Ghz, OSX 10.5.2
Boumy
Mac4Everien confirmé
 
Message(s) : 397
Inscription : 22/04/08, 11:52
Localisation : Belgique

Re :

Message par Fabricius le 04/06/13, 16:24

Ouais, bon bah ce sera patché à la prochaine MAJ iOS :-)
Fabricius
Mac4Everien confirmé
 
Message(s) : 454
Inscription : 25/02/08, 11:30

Re :

Message par toyeule le 04/06/13, 16:33

jJai trouvé une faille : quand on tape plusieurs fois un mauvais code, le clavier virtuel est bloqué pendant 1 minute, 5 minutes, 15 minutes puis 60 minutes après chaque mauvais essai. Mais si jamais on utilise un clavier physique, il est toujours possible de tenter un code.


dans le pire des cas, l'attaque demandera 8 heures pour être couronnée de succès, à raison d'une tentative toutes les trois secondes.


Résumé :
ca veut dire que si vous essayez de taper à la main tout les codes à 4 chiffres existant (1111,1112,1113,1114...) vous allez finir par trouver le code juste en plus ou moins 8 heures d'emmerdement.

Interprétation personnelle :
Du moment que vous avez accès physiquement à quelque chose il n'est plus inviolable. De la même manière (pour ceux qui ne comprennent toujours rien et utilise cet article pour dire que Apple en terme de sécurité est nul) si j'accède au coffre-fort de votre banque... je vais trouver la combinaison par "brute force". Eh oui, je vais essayer à la main tout les codes 1 par 1 jusqu'à tomber sur le bon. Est-ce que ca veut dire que votre banque est "pire" que Apple en terme de sécurité ? À votre avis ?

Alors les commentaires du style :

boumy a écrit :Non mais quand même, ici c'est une crevasse énorme. C'est la protection qui doit soutenir Find my Phone.


Excusez-moi mais ca me fait rire. Primo la protection qui doit soutenir "Find my iPhone" c'est l'utilisateur. Apple n'est pas responsable de si tu es incapable de ne pas perdre ton téléphone et encore moins de si quelqu'un te le vole, c'est à toi d'être précautionneux et de ne pas sortir ton téléphone dans des endroits "chauds" (c'est à dire "un peu partout" selon quelle ville tu habites :arrow: ).
Ensuite "C'est une crevasse énorme". En quoi avoir un code à 4 chiffre qui peut (évidement) étre craqué par n'importe qui qui essaye toutes les combinaisons existantes est une crevasse énorme ? Allez, réfléchis. Non, tu n'y arrives pas... pas grave. Je t'aide : si tu ne veux pas que quelqu'un craque ton code en utilisant toutes les combinaisons possibles alors il ne te faut pas de code mais... une clef (genre la clef de ta maison). Et là même si quelqu'un accède à ton téléphone ah ah il n'a pas la clef ! Et à ton avis, ca sera plus sécuritaire ? Non ! Alors franchement, avant de dire des conneries... juste abstient toi.
J'aime pas avoir des ordures dans mon jardin, devant ma porte, dans mon salon ou sur mon lit. Du coup... je n'aime pas avoir de la pub partout sur "mon" internet.
Avatar de l’utilisateur
toyeule
Mac4Ever's Killer
 
Message(s) : 1094
Inscription : 04/01/13, 17:32

Envoyé depuis Mac4Ever Mobile

Message par omega2 le 04/06/13, 17:15

10 000 h directement sur le téléphone
8h avec une puce qui simule un clavier USB

Ha oui c'est sur le niveau de sécurité est identique.

Ps: le jour ou ta banque laisse un gas tester toutes les combinaisons de ton coffre , il sera temps de changer de banque. ;)
omega2
Mac4Everien confirmé
 
Message(s) : 462
Inscription : 12/02/10, 13:10

Re :

Message par MacLessgy le 04/06/13, 17:19

Effectivement : @toyeule l'a bien résumé, en informatique, une fois que l'attaquant à accès physiquement au matériel, c'est foutu dans la très grande majorité des cas.



Sur le monde de l'ordinateur grand public, ça passe par les live CD/USB de distrib linux spécial qui mettent à plat toutes les sécurités dispo.

Dans le monde mobile, sur iOS et Android, ça passe en connectant divers périphérique via le port proprio/micro usb. Ici on parle de clavier externe, mais il existe des softs sur PC faisant la même chose.

Si votre iPhone/Android est volé, sauf si c'est la petite frape du quartier qui va rien en faire, il faut considérer que c'est foutu.

Le mobile est directement éteint pour annulé le blocage a distance et ensuite tranquillement via de nombreux logiciels, il ne faut que quelques minutes/heures pour avoir l'accès total.


Une très grande partie des smartphone vendu au rabais dans les pays en plein developpement (en Asie, Inde, Chine, Amérique du sud et Afrique) sont en général volé sur le marché occidental, la sécurité est cassé et l'appareil remis en config usine.



Il faut bien comprendre que les codes de sécu empêche vos amis de Bierberisé votre fond d'écran quand vous partez aux toilettes et la petite frappe du quartier d’accéder a votre téléphone.

Contre une personne qui n'a qu'un minimum de connaissance, cassé une sécurité de ce type est très rapide et facile.
MacLessgy
Mac4Everien confirmé
 
Message(s) : 356
Inscription : 27/02/13, 12:10

Re :

Message par ellipseBack le 04/06/13, 17:33

@toyeule

Pour une fois, c'est une faille.

En effet, le fait qu'un clavier physique contourne la protection mise par l'augmentation du temps d'entrée du code est une faille.

Il est évident que l'accès physique facilite les choses et qu'une protection sûre à 100% est inexistante.

Le but de toute protection est de rendre la vie la plus difficile possible à l'attaquant.
ellipseBack
Jeune Tourteau de Mac4Ever
 
Message(s) : 98
Inscription : 23/09/09, 19:25

Re: Une attaque en force brute pour passer outre les restric

Message par ptinouvo le 04/06/13, 17:45

Même avec un clavier physique ils ne trouveront pas mon code.
Karmalolo
:shock:
Avatar de l’utilisateur
ptinouvo
Bots' Hunter
 
Message(s) : 10578
Inscription : 04/02/10, 10:11

Re: Une attaque en force brute pour passer outre les restric

Message par Tiresias le 04/06/13, 17:49

ptinouvo a écrit :Même avec un clavier physique ils ne trouveront pas mon code.


Au hasard :
1
2
3
4

Le même code que sur tes bagages. :mrgreen:

(référence filmographique obscure et geekienne)
- FR MST3K MySTi - Ancien Libriste Aigri - Atari 400/800/600XL/800XL/65XE/130XE/800XE/XEGS/260ST/520ST/520ST+/1040STF/Mega ST/520STE/Lynx/Mega STE/TT/Jaguar/Falcon Retrogamer - Mouton Psychopathe (c) #occupydefense/Libé - Imbécile Heureux - 3 chats à la maison, vases cassés à foison - Médaille d'or du lancer d'éponge mouillée dans la tronche, JO de Montcuq 1953 -
Avatar de l’utilisateur
Tiresias
Mac4Ever's Flood
 
Message(s) : 4919
Inscription : 17/05/09, 20:30

Re: Une attaque en force brute pour passer outre les restric

Message par ptinouvo le 04/06/13, 18:04

Tiresias a écrit :
ptinouvo a écrit :Même avec un clavier physique ils ne trouveront pas mon code.


Au hasard :
1
2
3
4

Le même code que sur tes bagages. :mrgreen:

(référence filmographique obscure et geekienne)

Nan :P
Je n'ai pas de code
Karmalolo
:shock:
Avatar de l’utilisateur
ptinouvo
Bots' Hunter
 
Message(s) : 10578
Inscription : 04/02/10, 10:11

Re: Une attaque en force brute pour passer outre les restric

Message par Arnaud de Brescia le 04/06/13, 18:57

Les mecs. On vous le répète à longueur d'années : quand il y a accès physique, il n'y a plus de sécurité.

Dans le cas évoqué ici, il y a une anomalie évidente puisque un clavier physique contourne une protection et qu'il suffit de l'émuler pour en tirer profit.

Néanmoins, ceux qui comprennent cette protection comme une parade vis-à-vis de l'accès à leurs données après la perte de leur appareil, ou un moyen de le rendre inutilisable à tout voleur, se fourrent le multi-touch dans l'œil.
"Lasciate ogne speranza, voi ch'intrate"
Page d'accueil Windows.
Pour les autres entrez en Paradis => DEBUTER SUR MAC (made by JEN©)
Avatar de l’utilisateur
Arnaud de Brescia
Mac4Ever's Flood
 
Message(s) : 4232
Inscription : 29/03/06, 10:47

Suivant

Retour vers Actualité du monde Apple

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 2 invité(s)

Conseils d'achat

  • Macintosh

  • iPhone, iPad & iPod

iMac 27" 5k Indicateur vert Informations 10/2015 2099 € L'iMac Retina a été mis à jour le 13 octobre 2015 avec une architecture Skylake, et de nouvelles cartes graphiques. Apple ne devrait pas renouveler ces Mac avant une bonne année. Avant d'acheter, consultez notre test complet !
iMac 21,5" 4k Indicateur vert Informations 10/2015 1699 € L'iMac Retina 21,5" a été mis à jour le 13 octobre 2015 avec une architecture Broadwell, mais perd sa carte graphique dédiée. Apple ne devrait pas renouveler ces Mac avant une bonne année. Avant d'acheter, consultez notre test complet !
iMac Indicateur vert Informations 10/2015 1249 € L'iMac 21,5" (non Retina) a été mis à jour le 13 octobre 2015 avec une architecture Broadwell. Apple ne devrait pas renouveler ces Mac avant une bonne année. Avant d'acheter, consultez notre test complet !
Mac Mini Indicateur orange Informations 10/2014 549 € Le Mac mini a été mis à jour fin 2014 et apporte quelques améliorations notables, comme Thunderbolt 2, WiFi ac. Son prix a également fortement baissé, mais au prix d'un boiter moins évolutif (RAM soudée) et d'absence de quadri-coeur. Une renouvellement pour ce premier semestre 2016 est probable, même si Apple n'a pas l'habitude de mettre à jour cette machine très souvent. Regardez aussi du côté du Refurb, où l'on trouve régulièrement des modèles à partir de 459€ !
Mac Pro Indicateur rouge Informations 10/2013 3339 € Les rumeurs évoquent maintenant un nouveau Mac Pro pour début 2016, avec 10 ports USB (USB C et Thunderbolt 3 ?). Dans tous les cas, surtout n'achetez pas les modèles actuels datant de 2013 et désormais assez dépassés.
MacBook Pro Indicateur orange Informations 06/2012 1199 € Le MacBook Pro (non retina) est vieillissant et ne correspond plus aux nouveaux standards du marché. En revanche, la possibilité de faire évoluer RAM et disque dur reste l'un de ses atouts majeurs ! A réserver à un public très ciblé, donc. Pour les autres, préférez un MacBook Air ou carrément un Retina 13" !
MBP Retina 13" Indicateur orange Informations 03/2015 1449 € Les MacBook Pro Retina 13" ont été mis à jour le 9 mars 2015, il est probable qu'Apple propose de nouveaux modèles en ce début 2016, avec l'architecture Skylake d'Intel. Si vous n'êtes pas pressés, attendez ! Sinon, allez voir du côté du Refurb !
MBP Retina 15" Indicateur orange Informations 05/2015 2249 € Apple a mis à jour les MacBook Pro Retina 15" le 19 mai 2015 avec quelques petites nouveautés (trackpad ForceTouch, nouveau GPU, SSD plus rapide) mais sans changement de processeur. En effet, Intel a pris du retard sur sa prochaine génération de CPU mobiles quadri-coeurs, et l'arrivée de Skylake sur ces machines devrait avoir lieu en ce début 2016.Si vous n'êtes pas pressés, attendez quelques mois, ce Mac devrait nettement évoluer ces prochains mois. Sinon, orientez-vous vers les offres du Refurb !
MacBook Air Indicateur orange Informations 03/2015 999 € Le MacBook Air a été mis à jour en mars 2015, mais les améliorations sont peu nombreuses. Si vous avez besoin de ce modèle, jetez un œil sur le Refurb avant de vous décider. Si vous optez pour une machine neuve, le 11" est le portable par excellence qui pourra vous suivre partout. Et n'oubliez pas de booster la RAM au moins à 8Go et, si possible, de choisir le SSD de 512Go. Pas sûr qu'Apple continue de faire évoluer cette machine, mais une MAJ en ce début 2016 n'est pas à exclure avec l'arrivée de Skylake.
MacBook Indicateur vert Informations 04/2016 1449 € Le MacBook Retina 12" a été mis à jour le 20 avril 2016, avec très peu de nouveautés : un CPU qui stagne, une nouvelle couleur rose et un SSD 3x plus rapide. Avant de craquer, lisez bien notre test complet ! Notez que le Refurb propose le modèle de l'an dernier avec de belles réductions. Et surtout, lisez notre test avant d'acheter !
Apple TV 2015 Indicateur vert Informations 10/2015 199 € L'Apple TV 2015 vient de sortir ! Nouvelle télécommande, App Store et processeur plus puissant. La "Box" d'Apple évolue enfin vraiment ! Pas de nouvelle version prévue avant une bonne année, vous pouvez donc acheter sans risque.
À découvrir sur Mac4Ever
b 1  b 2  b 3 
Prixmac
app
A propos | Mentions légales | Contacts | Emploi | RSS | Apps