Une société promet d'accéder au contenu d'un iPhone sous iOS 11, Réactions à la publication du 06/03/2018

[Lionel]

La semaine dernière, la société Cellebrite annonçait à ses clients être capable d'accéder au contenu des iPhone sous iOS 11 sans le consentement de leur propriétaire.
Forbes rapporte qu'une seconde société commercialise un outil appelé GrayKey.

Cela implique qu'il y ait une faille majeure dans les appareils iOS 11 qui permet d'accéder d'une manière ou d'une autre par voie logicielle à la clé de chiffrement du support de stockage de ces appareils.

Lien vers le billet original

[mobydivingdick]

La NSA va pas être contente ... ou alors c'est un ex-NSA qui a décidé de se faire du cash "on the side"

Qui peut croire à l'inviolabilité de quoi que ce soit en provenance des USA ? ou du reste du monde d'ailleurs ...

[gregoz]

La NSA va pas être contente ... ou alors c'est un ex-NSA qui a décidé de se faire du cash "on the side"

Qui peut croire à l'inviolabilité de quoi que ce soit en provenance des USA ? ou du reste du monde d'ailleurs ...

Les voies du "saigneur" sont impénétrables...

[gwalior]

J'aimerai bien voir quand même le logiciel en action, parce que juste un texte qui décrit un logiciel, ce n'est pas parce que le prix de licence peut sembler élevé pour des néophytes que c'est réel. En plus je trouve ce prix ridiculement bas si ce qu'il promet est réel.
Pour moi (pour le moment), c'est surtout un gros coup de pub pour cette société.

[TERRY]

Apple va l'acheter, le dépiauter, combler la faille, et le business va être terminé, non? Ce genre de business, c'est du one short?

Ce message a été modifié par TERRY - 6 Mar 2018, 08:53.

[VSD]

Toujours est-il que JAMAIS nous ne serons à l'abris de quoi que ce soit avec nos Smartphones !

[Jack the best]

D'accord avec VSD !

[tutux]

Toujours est-il que JAMAIS nous ne serons à l'abris de quoi que ce soit avec nos Smartphones !

Toujours est il que nos smartphones n’ont jamais été aussi sécurisé qu’aujourdhui!

Le chiffrement d’un iphone date de quand?
Les mots de passe sur iphone?
Les jailbreak (qui étaient de grosses failles trouvées toutes les versions...)

Il y a 10 ans les gros operateurs (google compris) ne chiffraient pas ce qui passait sur leurs fibres... la nsa n’avait qu’a ecouter. Maintenant tout est chiffré, et si la nsa veut ecouter quelque chose, mieux vaut pour elle qu’elle sache ou chercher car un simple : find tutux ne suffira pas.. il faudra choisir quoi ecouter/copier/casser. On revient sur un concept normal d’ecoute/fouille en cas de recherche et non plus d’ecoute/stockage de tout ce qui passe partout!

Donc personnellement je trouve ne jamais avoir été aussi bien protégé

[Lionel]

Toujours est-il que JAMAIS nous ne serons à l'abris de quoi que ce soit avec nos Smartphones !

Toujours est il que nos smartphones n’ont jamais été aussi sécurisé qu’aujourdhui!

Ils n'ont non plus jamais autant été la cible d'attaque que maintenant.

[zero]

Toujours est il que nos smartphones n’ont jamais été aussi sécurisé qu’aujourdhui!

Tu oublies les failles des CPU, USB, etc.

Ce message a été modifié par zero - 6 Mar 2018, 09:33.

[emmaco]

Ils n'ont non plus jamais autant été la cible d'attaque que maintenant.

Oui, et ça ne va pas aller en s'arrangeant...

[Sgt.Pepper]

Oui... bon... selon ce que je lis il s'agit d'une procédure qui fonctionne par brute force sur des appareils qui n'ont pas activé l'option de protection justement dédiée à ce genre d'attaque (blocage de l'appareil après 10 tentatives).

Tu parles d'un scoop !

[STRyk]

Reste à voir si ce n'est pas une action qui voudrait servir à décrédibiliser Apple.
Je ne suis pas le "super ami" d'Apple mais c'est aussi la rançon du succès...

Ce message a été modifié par STRyk - 6 Mar 2018, 10:14.

[Sgt.Pepper]

Reste à voir si ce n'est pas une action qui voudrait servir à décrédibiliser Apple.
Je ne suis pas le "super ami" d'Apple mais c'est aussi la rançon du succès...

Et de s'interroger sur la façon de relayer ce type d'information à la mode Paris Match.

[ronparchita]

(...) sans le consentement de leur propriétaire.

C'est un truisme que le consentement du propriétaire ne soit pas demandé, il n'est jamais demandé. Tout le monde informatique s'arroge le droit de bafouer les droits à la vie privée, d'accéder au contenu de son courrier, de violer l'intimité des gens sans vergogne au titre que le service est gratuit et que c'est la contrepartie obligatoire.
Si le droit à la confidentialité existait encore, ce type d'annonce devrait entraîner immediatement l'intervention des forces de l'ordre qui doivent veiller à eviter les troubles de l'ordre public.
Si l'un ou l'une d'entre nous veut bien s'interroger sur ce qui reste de nos droits "de l'homme" et en dresser un bilan, on pourra mesurer les concessions que nous avons consenties depuis la publication des textes fondateurs.
Mamma Béa chantait "la liberté n'est-elle pas une forme de courage ?".
Le simple fait de vivre "comme tout le monde" devient de plus en plus dangereux.
Qu'est-ce qui va se passer après la publication de cette annonce ? A votre avis ?

[iAPX]

Toujours est-il que JAMAIS nous ne serons à l'abris de quoi que ce soit avec nos Smartphones !

Toujours est il que nos smartphones n’ont jamais été aussi sécurisé qu’aujourdhui!

Ils n'ont non plus jamais autant été la cible d'attaque que maintenant.

Oui le monde change et des attaques qui étaient rares sont devenues monnaie courante, et tout peut servir, tout ce qui a une CPU mais aussi toute faille dans la réponse humaine comme ouvrir un document reçu par email sans réfléchir avant.

Il a quatre type d'acteurs, les organisations gouvernementales dont je n'apprécie pas la surveillance mais dont je comprends la légitimité dans certains cas, les groupes mafieux essayant de trouver les mêmes failles pour voler nos informations et nos accès de paiement physiques et virtuels, des chercheurs en sécurité partout dans le monde qui font un travail incroyable, puis les développeurs d'OS et d'applications qui essayent de les combler aussi vite que possible.

Il y a aussi les script-kiddies mais je ne les compte pas, une bonne mise à jour et on en parle plus, ils sont à peine capable d'appuyer sur un bouton dans un ascenseur et leur compréhension de la sécurité s'arrête d'ailleurs là.
Il y a aussi des hackers de haut-niveau, qui peuvent cibler une compagnie et des personne, voir des fois une personne, et là je pense qu'on ne peut rien (moi en tout cas je suis désarmé).

Alors que dans les années 80 le piratage était individuel, visant des systèmes pour les utiliser et non des personnes, aujourd'hui c'est un piratage de masse, visant une multitude de système pour les faire tomber ou voler des informations personnelles, mais surtout visant la masse des utilisateurs pour la même raison, car il y a un marché pour nos informations, que ça soit pour permettre du vol d'identité ou s'emparer de nos moyens de paiement électronique.

Les smartphone sont probablement ce qui nous est le plus personnel pour beaucoup, surtout les jeunes adultes et ados, avec nos vies littéralement stockées dedans, des fois utilisé comme moyen de paiement aussi (et contenant des identifiant de cartes dans certains cas, Ô Google!), les identifiants de nos comptes, les messages échangés, etc.
En même temps une grande majorité de ces smartphone ne sont pas à jour, avec des failles de sécurité connues et exploitables.

Les smartphone et les réseaux (3G, LTE/4G, WiFi) sont maintenant les cibles qui sont ou vont être privilégiés, à cause de leur ubiquité, de leurs faiblesses, et de la valeur des informations qu'ils contiennent.

Pour terminer sur Cellbrite et GrayShift, elles vendent leurs services à des agences gouvernementales tout à fait légitimes, dans des pays où les droits sont relativement respectés, mais aussi et surtout à des pays ne respectant rien et à des agences de renseignement privées utilisées par ceux-ci et des industriels peu scrupuleux, ça n'est vraiment pas une bonne nouvelle.

Ce message a été modifié par iAPX - 6 Mar 2018, 15:49.

[kikeo]

La NSA va pas être contente ... ou alors c'est un ex-NSA qui a décidé de se faire du cash "on the side"

Il faut apprendre à lire... A la quatrième ligne de l'article source:

American startup named Grayshift, which appears to be run by long-time U.S. intelligence agency contractors and an ex-Apple security engineer

Apple va l'acheter, le dépiauter, combler la faille, et le business va être terminé, non? Ce genre de business, c'est du one short?

Bien vu ! Et dans tous les cas ce sera profitable

As Grayshift is putting its exploits in software, it could be possible for security researchers or Apple engineers to get hold of the GrayKey and determine what vulnerabilties it uses. "This will almost certainly lead to the exploit being burned," added Duff, a former cyber operations tactician at the U.S. Cyber Command. "Someone, maybe even Apple, will eventually get a hold of one of these devices and will examine how it works. If it's a non-Apple researcher, they will be able to report the bug to Apple and make $100,000 to $200,000 from their bug bounty program depending on how the exploit works."

[M_Marc]

Un lecteur averti aura observé que le payement n est pas demandé en bitcoin....

[Lionel]

Oui... bon... selon ce que je lis il s'agit d'une procédure qui fonctionne par brute force sur des appareils qui n'ont pas activé l'option de protection justement dédiée à ce genre d'attaque (blocage de l'appareil après 10 tentatives).

Tu parles d'un scoop !

Je suis curieux de savoir comment, à ma place tu aurais traité l'info.
Tiens, prends quelques minutes et fais la brève et son titre (pas trop long) histoire que je 'en inspire la prochaine fois.

[20-100]

Quand va-t-on arreter de se leurrer ?

Si on a un accès physique illimité à une machine... on a accès à son contenu...

Si vous avez des données vraiment importantes, elles ne devraient pas être sur votre téléphone.

[iAPX]

Quand va-t-on arreter de se leurrer ?

Si on a un accès physique illimité à une machine... on a accès à son contenu...

Si vous avez des données vraiment importantes, elles ne devraient pas être sur votre téléphone.

Je m'inscris en faux là-dessus, c'est à ça que servent les différentes méthodes d'authentification et de chiffrage employées.

[codeX]

Oui... bon... selon ce que je lis il s'agit d'une procédure qui fonctionne par brute force sur des appareils qui n'ont pas activé l'option de protection justement dédiée à ce genre d'attaque (blocage de l'appareil après 10 tentatives).

Tu parles d'un scoop !

Je suis curieux de savoir comment, à ma place tu aurais traité l'info.
Tiens, prends quelques minutes et fais la brève et son titre (pas trop long) histoire que je 'en inspire la prochaine fois.

Il ne cherchait sans doute pas à écorner ton ego, juste à rappeler une évidence.

Ce message a été modifié par codeX - 7 Mar 2018, 08:58.

[Sgt.Pepper]

Oui... bon... selon ce que je lis il s'agit d'une procédure qui fonctionne par brute force sur des appareils qui n'ont pas activé l'option de protection justement dédiée à ce genre d'attaque (blocage de l'appareil après 10 tentatives).

Tu parles d'un scoop !

Je suis curieux de savoir comment, à ma place tu aurais traité l'info.
Tiens, prends quelques minutes et fais la brève et son titre (pas trop long) histoire que je 'en inspire la prochaine fois.

Il ne cherchait sans doute pas à écorner ton ego, juste à rappeler une évidence.

Tout à fait. Nulle idée de faire la leçon à Lionel. Par contre la news aurait pu être une occasion de rappeler quelques procédures élémentaires de sécurité (généralement suffisantes pour le commun des mortels, à défaut d'être infranchissables).

@Lionel

Je sais la difficulté d'être à la fois factuel (on te reproche bien souvent de ne ne l'être pas assez) et accrocheur (un forum, ça doit devrait rester décontracté). Éternel combat rédactionnel entre information et incitation. Mais puisque tu m'y invites, j'aurais volontiers commis ce titre :

"Après Cellebrite qui force les iPhone en douce, voici Graykey qui les brutalise en force..."

Mais je ne doute pas que les commentaires auraient fusé !



Ce message a été modifié par Sgt.Pepper - 7 Mar 2018, 11:48.

[johnstone]

"Après Cellebrite qui force les iPhone en douce, voici Graykey qui les brutalise en force..."

Mais je ne doute pas que les commentaires auraient fusé !

Excellent! Comme c'est quand même assez soft, on est plutôt dans "Cinquante nuances de Graykey"

[Patounet1]

Bonjour,
Il y a quand même quelque chose d'anormal : Si demain je propose sur le marché une clef universelle qui permet d'ouvrir toutes les portes blindées d'une grande marque de serrures mondialement connue, il y a de forte chance que je vois arriver chez moi les forces de l'ordre, et que je me retrouve derrière les barreaux.
Là il y a une sté qui s'en vante sans aucune réaction.

[beberone]

Bonjour,
Il y a quand même quelque chose d'anormal : Si demain je propose sur le marché une clef universelle qui permet d'ouvrir toutes les portes blindées d'une grande marque de serrures mondialement connue, il y a de forte chance que je vois arriver chez moi les forces de l'ordre, et que je me retrouve derrière les barreaux.
Là il y a une sté qui s'en vante sans aucune réaction.

Bonsoir,

Ben moi justement je préfère savoir que ma serrure n'est plus inviolable et je change de marque de barillet plutôt que celui ci soit forcé alors que j'ai confiance dans mon fournisseur...

A choisir

[ronparchita]

Bonjour,
Il y a quand même quelque chose d'anormal : Si demain je propose sur le marché une clef universelle qui permet d'ouvrir toutes les portes blindées d'une grande marque de serrures mondialement connue, il y a de forte chance que je vois arriver chez moi les forces de l'ordre, et que je me retrouve derrière les barreaux.
Là il y a une sté qui s'en vante sans aucune réaction.

Bonsoir,

Ben moi justement je préfère savoir que ma serrure n'est plus inviolable et je change de marque de barillet plutôt que celui ci soit forcé alors que j'ai confiance dans mon fournisseur...

A choisir

Beberone,
Tu dis ça parce que changer ton barillet, tu peux te le permettre et que tu penses qu'en le changeant tu penses que tu es de nouveau protégé.
Si tu fais un pas en arriere, que tu prends un peu de recul, essaie d'imaginer tout ce dont tu dépends et que tu ne puisses pas te passer et que le changer ne te protège pas plus que le garder. Sur quoi tu vas t'appuyer pour te défendre.
Tu viens d'apprendre que ton iPhone est violable.
C'était peut-être le cas avant, mais ceux qui le violaient ne s'en vantaient peut-être pas. Maintenant que tu sais tu vas le changer ?
Je suis de l'avis de Patounet, et je pense aussi que la justice devrait se saisir de ces cas de violation des droits des gens sans attendre que des utilisateurs de ces appareils déposent plainte.
Cette annonce de service n'est pas admissible, ni même tolérable, ce n'est pas un problème d'informatique, c'est un problème d'atteinte à nos droits fondamentaux.
Et même si ce n'est qu'un coup de pub, c'est un trouble de l'ordre public.
C'est mon avis et je le partage avec ceux qui sont d'accord avec moi, et avec ceux qui ne le sont pas, mais j'aimerais bien que ceux qui ne le sont pas opposent des arguments.

[TERRY]

Apple va l'acheter, le dépiauter, combler la faille, et le business va être terminé, non? Ce genre de business, c'est du one short?

Et voilà.