Il n'est plus sûr d'utiliser un mot de passe à six chiffres sur votre iPhone.
Grâce à un nouveau type de dispositif de craquage spécialisé, les responsables de l'application des lois peuvent contourner tout code d'accès à 6 chiffres pour iPhone en un maximum de onze heures, tandis qu'un code à quatre chiffres peut être calculé en 6,5 minutes en moyenne ou 13 minutes au plus..
DIDACTICIEL: Comment configurer un code d'accès iPhone plus puissant
Une boîte grise mesurant quatre pouces de large par quatre pouces de profondeur par deux pouces de hauteur, avec deux câbles Lightning dépassant de l'avant, la boîte GrayKey a été conçue par une société appelée Grayshift. Il fonctionne avec tous les modèles récents d'iPhone.
L'appareil est conçu pour les responsables de l'application des lois.
Selon la carte mère de VICE, l'appareil de 15 000 $ connecté à Internet utilise un jailbreak iPhone non divulgué ou un exploit zero-day qui lui permet de briser la limitation de la saisie du mot de passe imposée par le coprocesseur cryptographique Secure Enclave conçu par Apple.
Après quatre tentatives de code d'accès consécutives, l'enclave sécurisé commence à retarder les tentatives ultérieures, d'une minute pour une cinquième tentative infructueuse ou d'une heure pour la neuvième erreur de code d'accès consécutive. GrayKey contourne non seulement cette sécurité intégrée, mais également l'option d'iOS pour que le contenu de votre iPhone soit effacé après dix tentatives de mot de passe échouées consécutives.
Selon Matthew Green, professeur adjoint et cryptographe au John Hopkins Information Security Institute, un mot de passe à 8 chiffres peut prendre entre 46 heures et 92 jours à deviner. Un mot de passe fort à 10 chiffres avec des nombres aléatoires peut prendre jusqu'à 25 ans pour se fissurer, ou plus de 13 ans en moyenne.
Guide des temps de craquage estimés du code d'accès iOS (suppose un mot de passe décimal aléatoire + un exploit qui rompt la limitation SEP):
4 chiffres: ~ 13min pire (~ 6.5avg)
6 chiffres: ~ 22,2 heures pire (~ 11,1 moy.)
8 chiffres: ~ 92,5 jours pire (~ 46avg)
10 chiffres: ~ 9259 jours pire (~ 4629avg)- Matthew Green (@matthew_d_green) 16 avril 2018
En septembre 2014, Apple a fait du chiffrement de disque la valeur par défaut sur iPhone.
Alors que le chiffrement intégral du disque protège vos données, une personne capable de deviner votre mot de passe peut facilement lire ou extraire vos données. Une fois que votre appareil a été déverrouillé avec succès à l'aide de la boîte de craquage, le contenu complet du système de fichiers est téléchargé sur l'appareil GrayKey, y compris le contenu non chiffré du trousseau système.
Vos identifiants de compte, noms et numéros de téléphone, e-mails, SMS, informations de compte bancaire et même les numéros de carte de crédit ou les numéros de sécurité sociale sont accessibles à partir de là via une interface Web sur un ordinateur connecté pour analyse.
Ryan Duff, un chercheur qui a étudié iOS et le directeur de Cyber Solutions pour Point3 Security, a déclaré à Motherboard dans un chat en ligne:
Les gens devraient utiliser un mot de passe alphanumérique qui n'est pas sensible à une attaque par dictionnaire et qui est d'au moins 7 caractères et a un mélange d'au moins des lettres majuscules, des lettres minuscules et des chiffres. L'ajout de symboles est recommandé et plus le mot de passe est compliqué et long, mieux c'est.
Depuis la sortie d'iOS 9, Apple requiert un mot de passe à 6 chiffres par défaut.
Si vous souhaitez renforcer la sécurité de votre iPhone ou iPad, vous pouvez augmenter encore plus la force de votre code d'accès en définissant un code d'accès numérique personnalisé ou un mot de passe alphanumérique.
Si j'étais vous, je mettrais en place un mot de passe alphanumérique.
Bien sûr, taper un long code alphanumérique est une douleur dans le savoir-faire, mais comme il contient plusieurs lettres et chiffres, il sera incroyablement plus fort que ces codes d'accès à 6 chiffres facilement craquables. Oh, et assurez-vous de vérifier la longueur de votre mot de passe - les personnes qui ont restauré des sauvegardes lors de la mise à niveau vers des iPhones plus récents peuvent toujours avoir des codes d'accès à 4 chiffres.
Des appareils comme la boîte GrayKey fonctionneront jusqu'à ce qu'Apple corrige les exploits sur lesquels ils s'appuient, auquel cas les iPhones mis à jour ne seraient plus sensibles aux attaques par mot de passe comme celle-ci. Pour ceux qui se demandent, l'appareil GrayKey fonctionne sur le dernier matériel avec iOS 11.2.5.
Image du héros: boîte de craquage de l'iPhone GrayKey, gracieuseté de MalwareBytes