Apple Message plus sûr contre les attaques quantiques?, Réactions à la publication du 21/02/2024

[Paul Emploi]

Je vais le faire court: les attaques quantiques ne sont pas pour aujourd'hui ni demain, et le nouveau protocole PQ3 de Apple ne donne que peu de garanties réelles.
Excepté que si des messages sont décryptés, un gros groupe de messages, les suivants ou les précédents devront eux-aussi être décryptés en groupe. Ça n'arrête rien.

Apple semble amener un nouvel algorithme PQ3 pour les communications protégées de bout-en-bout (end-to-end) de Messages, officiellement pour protéger contre les attaques quantiques, tout en se permettant de dériver des clés de chiffrement et de déchiffrement de votre authentification sur ses services, lui donnant accès ainsi qu'à toute agence de niveau gouvernementale à vos messages quand vous saisissez votre mot-de-passe. Dont la NSA, la CIA, etc.

Il y a une pseudo-étude en PDF qui devrait rassurer d'un chercheur qui se pignole "post-quantique" depuis longtemps, sauf qu'à la lire, elle ne me rassure pas: ça ressemble à un sujet d'étude et c'est juste un PDF formaté pour ressembler à un document réel issu d'une université, et mieux encore cette "étude" payée par Apple!
Pas de relecteurs. Pas d'indépendance. Même pas de conclusion solide!

Mon avis est que Apple joue avec la sécurité, l'impression de sécurité, et l'impression de protection de la vie privée, quand dans le même temps elle a donnée toutes les clés à une entreprise contrôlée par le PCC Chinois pour espionner leur population...


Apple se vante même d'amener cette "sécurité" en Chine où le pouvoir a tout loisir de déchiffrer tout message grâce à ses bons soins, c'est dire!

Le seul "bénéfice" pourrait être d'écarter d'anciens Mac, iPhone ou iPad de Messages, ou pour le moins de les afficher en vert lors des échanges via Message, poussant nombre d'utilisateurs à racheter un nouveau matériel, pour rien...

Lien vers le billet original

[Hebus]

Quand je lis cet article

Il reste un doute : https://security.apple.com/blog/imessage-co...ey-verification

Mais je suis d’accord avec toi, quelque part de savoir que l’on puisse totalement cacher ses action aux services de sécurité à quelque chose d’inconfortable

[Paul Emploi]

Quand je lis cet article

Il reste un doute : https://security.apple.com/blog/imessage-co...ey-verification

Mais je suis d’accord avec toi, quelque part de savoir que l’on puisse totalement cacher ses action aux services de sécurité à quelque chose d’inconfortable

Tes doutes te regardent, tu peux croire en ce qu'écrit Apple et son service de communication. Moi pas.
Je rappellerais le partage de clé Shamir, c'est ce qui est utilisé en Chine pour espionner toute la population. Absent des documents de Apple.

"In iOS 14, we added BlastDoor, an advanced sandboxing mechanism that makes it vastly more difficult to attack the device with malicious content in the Messages app." - Apple
Et après cela, belote, rebelote et dix de der, des attaques à distance même au travers des infrastructures Apple, prenant le contrôle des appareils iOS sans interaction avec l'utilisateur ni aucun message. Comme avant.

Quand leur service de communication se vante ouvertement d'une mesure de sécurité qui a été éventée, on comprends bien que tout le reste est du n'importe quoi, qu'on soit en mesure de le comprendre, de l'analyser, ou pas.

Je reprend pour les mal comprenants: Messages n'est pas une messagerie sécurisée de bout-en-bout (end-to-end) car les clés maître se baladent et sont chiffrés faiblement via le mot-de-passe iCloud de l'utilisateur. Aucune garantie mathématique ou cryptographique pour l'usage de ces clés.