iOS Security : Une conférence lors du BlackHat de Las Vegas revient sur la sécurité des produits Apple. Une « diapo » semble donner un « truc » sur la récupération de son mot de passe perdu.

Il y a quelques semaines je vous racontais l’ambiance morose entre le FBI et APPLE. L’autorité fédérale américaine chercher, expliquait-elle, à mettre la main sur le contenu de téléphones portables iPhone de terroristes et autres trafiquants de drogue. Une ambiance judiciaire qui s’est conclue avec de nombreux secrets et rebondissements, comme le fait que le FBI ne souhaitait pas expliquer une de ses méthodes de hack de smartphone.

Lors du Black Hat de Las Vegas, grande messe américaine dédiée à la sécurité informatique, Ivan Krstic, ingénieur sécurité chez Apple, a proposé une conférence baptisée « Dans les coulisses de la sécurité d’iOS » [Behind the Scenes with iOS Security]. Une « diapo« , page 44 de son exposé, attire l’oeil : « In case of device loss or new device, user can recover secrets with their iCloud password and the iCSC« . Quoi ? Récupérer son mot de passe serait aussi simple selon Ivan Krstic. C’est moi ou il explique comment BruteForcer les 6 chiffres de la protection d’un iPhone ?

Au sujet de l'auteur

Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Des pirates Chinois perturbent des aéroports vietnamiens

2 Comments

Seb C 10/08/2016 at 14:13 Reply

Bah c’est toi, Damien.. C’est aussi simple que de lire 5 mn la diapo : le ICsC, c’est le passcode (le code à 6 chiffres du device – « commonly device passcode »).
Et « normalement », tu bruteforces pas iCloud, parce qu’ils limitent le nombre d’essais (« normalement », parce que, ça s’est vu, tous les accès n’ont pas toujours été soumis à la règle de la limitation du nombre d’essai)…
Et là, il parle de récupérer les secrets stockés dans le téléphone (le trousseau de clé iCloud, les éventuels certificats, les CB -Apple Pay- etc etc), pas le passcode du téléphone…
- Damien Bancal 12/08/2016 at 10:46 Reply
  
  Merci de répondre à mon interrogation. Vous avez la chance de tout savoir, pas moi, d’ou l’interrogation et l’envie de partager. Dommage que vous vous sentiez obligé un début désobligeant dans votre réponse. Si j’en parle et me questionne, c’est qu’à premiére vue, j’ai passé plus de 5 mns à lire le document.