Pas ce genre de fissure.
Geoff Parsons
commentaires des lecteurs
212
avec 103 affiches participantes
Partagez cette histoire
Partager sur Facebook
Partager sur Twitter
Partager sur Reddit
La bataille du chiffrement d'Apple
Le FBI ne connaissait pas pleinement ses propres capacités lors de l'affrontement avec Apple
Procès : Qui le FBI a-t-il payé pour entrer dans l'iPhone de l'attaquant de San Bernardino ?
Le directeur du FBI prévient que le gouvernement fédéral apportera plus de cas liés au cryptage
Feds: quelqu'un nous a donné le mot de passe dans une affaire de drogue à New York, nous n'avons donc pas besoin d'Apple
Le FBI a payé au moins 1,3 million de dollars pour un jour zéro pour entrer dans l'iPhone de San Bernardino
Voir plus d'histoires
Le firmware personnalisé que le FBI aimerait qu'Apple produise afin de
déverrouiller l'iPhone San Bernardino
serait le moyen le plus simple d'accéder à l'appareil, permettant à l'agence fédérale de tenter rapidement des codes PIN jusqu'à ce qu'elle trouve celui qui a déverrouillé le téléphone.
Mais ce n'est probablement pas le seul moyen d'atteindre ce que veut le FBI. Il peut bien y avoir des approches qui n'obligent pas Apple à créer un micrologiciel personnalisé pour vaincre certaines des mesures de sécurité de l'iPhone.
L'iPhone 5c utilisé par les tueurs de San Bernardino crypte ses données à l'aide d'une clé dérivée d'une combinaison d'un identifiant intégré dans le processeur de l'iPhone et du code PIN de l'utilisateur. En supposant qu'un code PIN à 4 chiffres soit utilisé, cela ne représente que 10 000 combinaisons différentes à essayer. Cependant, l'iPhone dispose de deux protections contre les tentatives d'essayer chaque code PIN à tour de rôle. Premièrement, il insère des délais pour vous obliger à attendre toujours plus longtemps entre les tentatives de code PIN (jusqu'à une heure au maximum). Deuxièmement, il a la possibilité facultative de supprimer ses clés de cryptage après 10 codes PIN incorrects, privant ainsi définitivement l'accès à toutes les données cryptées.
Le FBI aimerait utiliser un micrologiciel personnalisé qui permet de tenter plusieurs codes PIN sans l'une ou l'autre de ces fonctionnalités. Ce micrologiciel personnalisé serait probablement exécuté en utilisant le mode DFU de l'iPhone. Le mode Device Firmware Update (DFU) est un mode de dernier recours de bas niveau qui peut être utilisé pour récupérer les iPhones qui ne peuvent pas démarrer. Pour utiliser le mode DFU, un iPhone doit être connecté via USB à un ordinateur exécutant iTunes. iTunes enverra une image du firmware à l'iPhone, et l'iPhone exécutera cette image à partir d'un disque RAM. Pour les besoins du FBI, cette image inclurait les routines d'attaque par code PIN pour forcer brutalement le verrouillage de l'appareil.
Le développement de ce firmware ne devrait pas être particulièrement difficile - les jailbreakers ont développé toutes sortes d'utilitaires pour créer des disques RAM personnalisés à exécuter à partir du mode DFU, donc l'exécution de code personnalisé à partir de cet environnement est déjà quelque peu comprise - mais il y a un problème. L'iPhone n'exécutera aucun ancien disque RAM que vous y copiez. Il vérifie d'abord la signature numérique de l'image système qui est transférée. Ce n'est que si l'image a été correctement signée par Apple que le téléphone l'exécutera.
Publicité
Le FBI ne peut pas créer cette signature lui-même. Seul Apple peut le faire. Cela signifie également que le FBI ne peut même pas développer le code lui-même. Pour tester et déboguer le code, il doit être possible de
Cours
le code, et cela nécessite une signature. C'est pourquoi il demande l'implication d'Apple : seul Apple est en mesure de faire ce développement.
Ne rien faire du tout
La première possibilité est qu'il n'y a tout simplement rien à faire. L'effacement après 10 codes PIN incorrects est facultatif et désactivé par défaut. Si l'option d'effacement n'est pas activée, le FBI peut simplement forcer brutalement le code PIN à l'ancienne : en tapant les nouveaux codes PIN un par un. Il faudrait redémarrer le téléphone de temps en temps pour réinitialiser le délai d'une heure, mais aussi fastidieux que soit le travail, ce n'est certainement pas impossible.
Ce
aurait
être beaucoup plus lent sur un iPhone 6 ou 6s. Dans ces modèles, le nombre de tentatives de PIN échouées est conservé lors des redémarrages, donc la réinitialisation du téléphone ne réinitialise pas le délai. Mais sur le 5c, il n'y a pas d'enregistrement persistant de mauvais essais de code PIN, donc le redémarrage du téléphone permet à un attaquant de court-circuiter le délai.
Pourquoi cela pourrait ne pas fonctionner
Évidemment, si le téléphone
est
réglé pour s'essuyer, cette technique ne fonctionnerait pas, et le FBI voudrait savoir d'une manière ou d'une autre avant de commencer. Cela devrait être une question relativement simple à dire pour Apple, car les informations sont stockées d'une manière accessible afin qu'il sache quoi faire lorsqu'un mauvais code PIN est entré. Mais étant donné la réticence de l'entreprise à aider jusqu'à présent, il peut être impossible de les faire aider ici.
Mettre à jour
: Il s'avère que ce bogue a été corrigé dans iOS 8.1, il ne fonctionnerait donc probablement pas après tout.
Acide et faisceaux laser
Une solution risquée qui a été largement discutée
déjà
consiste à utiliser des lasers et de l'acide pour retirer les couches externes du processeur de l'iPhone et lire l'ID intégré. Une fois cet identifiant intégré connu, il n'est plus nécessaire d'essayer de saisir le code PIN directement sur le téléphone lui-même. Au lieu de cela, il serait possible de simplement copier le stockage crypté sur un autre ordinateur et d'essayer tous les codes PIN sur cet autre ordinateur. Les verrouillages et l'effacement de l'iPhone ne seraient pas pertinents dans ce scénario.
Pourquoi cela pourrait ne pas fonctionner
Le risque de cette approche n'est pas tant qu'elle ne fonctionnera pas, mais que si même une petite erreur est commise, l'ID du matériel pourrait être irrémédiablement endommagé, rendant les données stockées définitivement inaccessibles.
Publicité
Jailbreaker la chose
Les verrouillages et les effacements intégrés de l'iPhone sont inévitables si vous exécutez le système d'exploitation de l'iPhone... en supposant que l'iPhone fonctionne comme il est censé le faire. Ce n'est peut-être pas le cas. Le code que l'iPhone exécute pour entrer en mode DFU, charger une image RAM, vérifier sa signature, puis démarrer l'image est petit, et il doit être simple et à l'épreuve des balles. Cependant, il n'est pas impossible que ce code, qu'Apple appelle SecureROM, contienne des bugs. Parfois, ces bogues peuvent permettre au mode DFU (ou au mode de récupération étroitement lié) d'exécuter une image sans vérifier sa signature au préalable.
Il existe peut-être six failles historiques connues dans SecureROM qui ont permis aux jailbreakers de contourner le contrôle de signature d'une manière ou d'une autre. Ces bogues sont particulièrement attrayants pour les jailbreakers, car SecureROM est intégré au matériel, et donc les bogues ne peuvent pas être corrigés une fois qu'ils sont dans la nature : Apple doit mettre à jour le matériel pour y remédier. Des bogues exploitables ont été trouvés dans la façon dont SecureROM charge l'image, vérifie la signature et communique via USB, et dans tous les cas, ils ont permis aux périphériques de démarrer un micrologiciel non signé.
Si une septième faille SecureROM exploitable était trouvée, cela permettrait aux jailbreakers d'exécuter leurs propres firmwares personnalisés sur les iPhones. Cela donnerait au FBI le pouvoir de faire ce qu'il doit faire : il pourrait créer le micrologiciel personnalisé dont il a besoin et l'utiliser pour attaquer le code PIN par force brute. Certains détracteurs de la demande du gouvernement ont suggéré qu'un organisme gouvernemental, probablement la NSA, pourrait déjà
savoir
d'une telle faille, arguant que l'affaire contre Apple n'est pas due à un réel besoin de faire signer un firmware personnalisé par Apple, mais simplement pour couvrir leur propre jailbreak.
Pourquoi cela pourrait ne pas fonctionner
Bien sûr, la difficulté avec cette approche est qu'il est également possible qu'un tel défaut n'existe pas, ou que même s'il existe, personne ne sait ce que c'est. Compte tenu de l'opportunité de ce type de faille (elle ne peut être corrigée par aucune mise à jour du système d'exploitation), les jailbreakers ont certainement regardé, mais jusqu'à présent, ils sont arrivés les mains vides. En tant que tel, tout cela peut être hypothétique.