Il y a deux manières de sauvegarder le contenu de son appareil iOS : dans le nuage d’iCloud, ou via iTunes et une bonne vieille connexion filaire avec son Mac ou son PC. Habituellement, c’est cette dernière méthode qui est considérée comme la plus sécurisée : non seulement le malandrin ou l’agence gouvernementale à trois lettres doit avoir un accès physique à l’ordinateur, mais encore les mécanismes mis en place par Apple pour la sauvegarde physique sont plus forts que celle d’iCloud.
Mais iOS 10 bouleverse quelque peu la donne. Elcomsoft décrit une faille de sécurité dans le processus des sauvegardes iOS sur iTunes. Elle est d’autant plus dangereuse qu’elle permet de craquer beaucoup plus rapidement le mot de passe de l’utilisateur censé protéger la sauvegarde, en utilisant les techniques de force brute.
Et quand on dit rapidement, c’est bien le cas : la vulnérabilité permet de tester tous les mots de passe possibles et imaginables 2 500 fois plus rapidement (!) qu’avec la précédente méthode. Les chercheurs ont mis au jour un nouveau processus de vérification du mot de passe pour les sauvegardes inauguré avec iOS 10, et qui contourne les systèmes de sécurité mis en place par Apple. De fait, seules sont concernées les sauvegardes de terminaux sous iOS 10 ; et les deux méthodes, « l’ancienne » qui craque plus lentement et la « nouvelle », coexistent.
Le logiciel Phone Breaker, un outil développé par Elcomsoft qui permet de récupérer des données d’une sauvegarde, se montre 40 fois plus rapide avec cette nouvelle méthode qu’avec l’ancienne — sans même l’accélération matérielle GPU, la technique étant encore trop neuve ! Sous iOS 10, ce logiciel est capable de traiter 6 millions de mots de passe par seconde, contre 150 000 sous iOS 9 (avec un ordinateur doté d’un Core i5 + accélération GPU). Il faudrait deux jours seulement pour obtenir le mot de passe d’une sauvegarde iTunes, avec des chances de réussite estimées de 80 à 90%.
Rappelons encore une fois que pirater une sauvegarde iTunes nécessite un accès physique à l’ordinateur, ce qui limite l’impact de cette faille. Et il est fort probable qu’Apple « bouche » cette vulnérabilité dans une prochaine mise à jour.
