IPB

Bienvenue invité ( Connexion | Inscription )

3 Pages V  < 1 2 3  
Reply to this topicStart new topic
> Apple lance une procédure contre le groupe NSO, Réactions à la publication du 24/11/2021
Options
Lionel
posté 29 Nov 2021, 08:50
Message #61


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 54 880
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3



Citation (downanotch @ 29 Nov 2021, 08:40) *
Citation (vlady @ 28 Nov 2021, 20:08) *
J'ai l'impression qu'Apple n'a jamais prétendu avoir un "vrai" chiffrement end-to-end. Tout le monde le sait, en tout cas, moi, je le sais. Pourquoi ? Toujours la même raison, la convenance. Apple est capable de "restaurer" l'accès aux données si madame Michu a pommé son mot de passe. Et ce n'est pas un défaut, c'est une feature. smile.gif

Ben justement non, ce qui end-to-end n'est PAS récupérable :
Si vous oubliez votre mot de passe ou le code d’accès de votre appareil, le service de récupération de données iCloud peut vous aider à déchiffrer vos données afin que vous puissiez regagner l’accès à vos photos, notes, documents, sauvegardes d’appareils, etc. En revanche, ce service ne vous permet pas d’accéder aux types de données qui sont protégés par le chiffrement de bout en bout, comme les données de votre trousseau, de l’app Santé, de l’app Messages et de l’app Temps d’écran. Les codes d’accès de vos appareils, que vous seul connaissez, sont requis pour déchiffrer et accéder à ces données. Vous seul pouvez accéder à ces informations, et uniquement à partir des appareils sur lesquels vous êtes connecté à iCloud.

https://support.apple.com/fr-fr/HT202303

Sauf en Chine bien entendu. Fort avec les démocraties, faible avec les pays "à poigne".


--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
vlady
posté 29 Nov 2021, 10:40
Message #62


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 539
Inscrit : 26 Jun 2010
Lieu : Paris
Membre no 155 873



Citation (downanotch @ 29 Nov 2021, 08:40) *
Citation (vlady @ 28 Nov 2021, 20:08) *
J'ai l'impression qu'Apple n'a jamais prétendu avoir un "vrai" chiffrement end-to-end. Tout le monde le sait, en tout cas, moi, je le sais. Pourquoi ? Toujours la même raison, la convenance. Apple est capable de "restaurer" l'accès aux données si madame Michu a pommé son mot de passe. Et ce n'est pas un défaut, c'est une feature. smile.gif

Ben justement non, ce qui end-to-end n'est PAS récupérable :
Si vous oubliez votre mot de passe ou le code d’accès de votre appareil, le service de récupération de données iCloud peut vous aider à déchiffrer vos données afin que vous puissiez regagner l’accès à vos photos, notes, documents, sauvegardes d’appareils, etc. En revanche, ce service ne vous permet pas d’accéder aux types de données qui sont protégés par le chiffrement de bout en bout, comme les données de votre trousseau, de l’app Santé, de l’app Messages et de l’app Temps d’écran. Les codes d’accès de vos appareils, que vous seul connaissez, sont requis pour déchiffrer et accéder à ces données. Vous seul pouvez accéder à ces informations, et uniquement à partir des appareils sur lesquels vous êtes connecté à iCloud.

https://support.apple.com/fr-fr/HT202303


Pour moi ça reste partiel, j'ai l'impression que c'est juste un effet de bord de fonctionnement des applications spécifiques qui envoient les données (sur iCloud) déjà chiffrées localement. J'utilise KeePassXC pour tout mes mots de passe. Si le fichier créé par KeePassXC est dans les "Documents", et l'option qui va bien est activée, le fichier ira dans iCloud chiffré "end-to-end" sans qu'Apple n'y fasse quoi que ce soit.

Ce message a été modifié par vlady - 29 Nov 2021, 11:54.


--------------------
Dell Precision 3640 i7-10700K/32GB, Fedora 34 Linux, écran Eizo EV2736W, Casque Sony WH-1000XM4, Mac Pro late 2013 Xeon Quad 3.7GHz/16GB, Mac Book Air 11" 1.6GHz/4GB, (explosé par le batterie qui a gonflé), iPhone 6s 64GB
Go to the top of the page
 
+Quote Post
chombier
posté 29 Nov 2021, 20:18
Message #63


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 6 542
Inscrit : 20 Mar 2003
Membre no 6 765



Citation (downanotch @ 29 Nov 2021, 08:40) *
Citation (vlady @ 28 Nov 2021, 20:08) *
J'ai l'impression qu'Apple n'a jamais prétendu avoir un "vrai" chiffrement end-to-end. Tout le monde le sait, en tout cas, moi, je le sais. Pourquoi ? Toujours la même raison, la convenance. Apple est capable de "restaurer" l'accès aux données si madame Michu a pommé son mot de passe. Et ce n'est pas un défaut, c'est une feature. smile.gif

Ben justement non, ce qui end-to-end n'est PAS récupérable :
Si vous oubliez votre mot de passe ou le code d’accès de votre appareil, le service de récupération de données iCloud peut vous aider à déchiffrer vos données afin que vous puissiez regagner l’accès à vos photos, notes, documents, sauvegardes d’appareils, etc. En revanche, ce service ne vous permet pas d’accéder aux types de données qui sont protégés par le chiffrement de bout en bout, comme les données de votre trousseau, de l’app Santé, de l’app Messages et de l’app Temps d’écran. Les codes d’accès de vos appareils, que vous seul ET APPLE connaissez, sont requis pour déchiffrer et accéder à ces données. Vous seul ET APPLE pouvez accéder à ces informations, et uniquement à partir des appareils sur lesquels vous êtes connecté à iCloud.

https://support.apple.com/fr-fr/HT202303

Apple peut mettre à jour n'importe quel firmware dans ses iPhones, mais ne peut pas accéder aux clés ?
Mais pas d'inquiétude, le cas échéant, Apple promet de ne pas s'en servir... biggrin.gif

Ce message a été modifié par baron - Hier, 00:49.
Raison de l'édition : Les ajouts dans la citation ont été mis en bleu


--------------------
késtananafout' (:
Go to the top of the page
 
+Quote Post
el fifito
posté 1 Dec 2021, 07:43
Message #64


Adepte de Macbidouille
*

Groupe : Membres
Messages : 203
Inscrit : 16 Sep 2014
Membre no 192 020



Citation (iAPX @ 25 Nov 2021, 18:46) *
Citation (el fifito @ 25 Nov 2021, 08:08) *
... stockées sur les serveurs Google et Amazon ? ...

Ce ne sont pas des données, ce sont les données chiffrées et totalement inaccessibles (comme données) à Google ou Amazon.

Donc non, ils peuvent les mettre où ils veulent, même les exposer publiquement, ça ne risque absolument rien.


Mais qui détient la clé de chiffrement et qui la fournit aux autorité chinoises lorsqu'ils l'exige ?
https://www.lefigaro.fr/secteur/high-tech/l...-chine-20210518
Go to the top of the page
 
+Quote Post
JayTouCon
posté 1 Dec 2021, 09:51
Message #65


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 4 622
Inscrit : 2 Sep 2010
Membre no 158 552



Citation (el fifito @ 1 Dec 2021, 07:43) *
Citation (iAPX @ 25 Nov 2021, 18:46) *
Citation (el fifito @ 25 Nov 2021, 08:08) *
... stockées sur les serveurs Google et Amazon ? ...

Ce ne sont pas des données, ce sont les données chiffrées et totalement inaccessibles (comme données) à Google ou Amazon.

Donc non, ils peuvent les mettre où ils veulent, même les exposer publiquement, ça ne risque absolument rien.


Mais qui détient la clé de chiffrement et qui la fournit aux autorité chinoises lorsqu'ils l'exige ?
https://www.lefigaro.fr/secteur/high-tech/l...-chine-20210518

mais euuuhhh, @downatoch il a dit que c'était chiffré épicétou circulez.

puis bon cet obscur journal qu'est le New York Times un petit fanzine de hater ca vaut rien.

les data center sont en chine
le matos est fabriqué en chine
les clefs de chiffrement sont en chine

mais la pommmmme elle donne pas les clefs hein.
Go to the top of the page
 
+Quote Post
downanotch
posté 1 Dec 2021, 11:55
Message #66


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 801
Inscrit : 11 Apr 2012
Membre no 175 864



Citation (iAPX @ 25 Nov 2021, 23:34) *
Apple prétend ne pas pouvoir y avoir accès, c'est d'évidence faux puisqu'on a accès à cette information au travers de son interface Web.
Dans ce cas le "end-to-end" est une arnaque, tout l'inverse de Signal par exemple qui implémente correctement du chiffrement de bout-en-bout, qui ne peut évidemment proposer d'interface Web.

C'est bien pour cela que tout ce qui est accessible par l'interface web (Photos, iCloud Driver) n'est pas considéré comme chiffré de bout en bout dans la doc d'Apple.

Pour Find My, comme je le comprend, iCloud sert de canal pour transmettre des clés qui sont chiffrées par les appareils (le perdu et le second). Les deux appareils peuvent donc communiquer secrètement. Par contre, si on perd un appareil, avec ce système il faut impérativement un deuxième appareil Apple pour pouvoir localiser le premier. C'est ce cas de figure que la doc Apple détaille. Comme c'est probablement une condition trop restrictive, la possibilité existe de passer par l'interface web, qui aura pour cela besoin de temporairement pouvoir accéder aux messages secrets des deux appareils.

Cet article analyse en profondeur la sécurité de "Find My" et conclut (extrait de l'abstract)
While we find that OF's design achieves its privacy goals, we discover two distinct design and implementation flaws that can lead to a location correlation attack and unauthorized access to the location history of the past seven days, which could deanonymize users. Apple has partially addressed the issues following our responsible disclosure
https://arxiv.org/abs/2103.02282

Ce message a été modifié par downanotch - 1 Dec 2021, 11:55.
Go to the top of the page
 
+Quote Post
chombier
posté Hier, 00:22
Message #67


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 6 542
Inscrit : 20 Mar 2003
Membre no 6 765



Citation (downanotch @ 1 Dec 2021, 11:55) *
Cet article analyse en profondeur la sécurité de "Find My"

Sérieusement ?

DTC ? biggrin.gif


--------------------
késtananafout' (:
Go to the top of the page
 
+Quote Post
iAPX
posté Hier, 16:34
Message #68


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 13 867
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (downanotch @ 1 Dec 2021, 05:55) *
Citation (iAPX @ 25 Nov 2021, 23:34) *
Apple prétend ne pas pouvoir y avoir accès, c'est d'évidence faux puisqu'on a accès à cette information au travers de son interface Web.
Dans ce cas le "end-to-end" est une arnaque, tout l'inverse de Signal par exemple qui implémente correctement du chiffrement de bout-en-bout, qui ne peut évidemment proposer d'interface Web.

C'est bien pour cela que tout ce qui est accessible par l'interface web (Photos, iCloud Driver) n'est pas considéré comme chiffré de bout en bout dans la doc d'Apple.

Pour Find My, comme je le comprend, iCloud sert de canal pour transmettre des clés qui sont chiffrées par les appareils (le perdu et le second). Les deux appareils peuvent donc communiquer secrètement. Par contre, si on perd un appareil, avec ce système il faut impérativement un deuxième appareil Apple pour pouvoir localiser le premier. C'est ce cas de figure que la doc Apple détaille. Comme c'est probablement une condition trop restrictive, la possibilité existe de passer par l'interface web, qui aura pour cela besoin de temporairement pouvoir accéder aux messages secrets des deux appareils.

Cet article analyse en profondeur la sécurité de "Find My" et conclut (extrait de l'abstract)
While we find that OF's design achieves its privacy goals, we discover two distinct design and implementation flaws that can lead to a location correlation attack and unauthorized access to the location history of the past seven days, which could deanonymize users. Apple has partially addressed the issues following our responsible disclosure
https://arxiv.org/abs/2103.02282

Cet article analyse techniquement le fonctionnement de "Find My", en s'arrêtant avant de considérer les moyens d'accéder à ces informations quand possédant le mot-de-passe du compte iCloud (ou un appareil appairé via ce même mot-de-passe qui est la véritable clé).

Ce que j'écris ne couvre QUE l'accès via le mot-de-passe, ou son équivalent la clé de déchiffrement qui en est partiellement dérivée.
Ce que j'écris couvre évidemment les appareils appairés, via encore le mot-de-passe et possédant la clé de déchiffrement récupérée après appairage.

C'est donc complémentaire: les données chiffrées sont maintenant relativement sûres, après leurs trouvailles et les changements afférents, tant qu'on a pas accès au mot-de-passe (ou la clé de déchiffrement qui en est partiellement dérivée).
Et Apple a eu accès à ce mot-de-passe lors de la création du compte et toute modification de celui-ci, a eu accès à (et même créé!!!) la clé de déchiffrement associée, ainsi que tout acteur malveillant capable de faire du MITM https.

Voilà pourquoi Apple a la capacité de tous nous suivre, même appareil "éteint", en omettant joyeusement de décrire la vie de nos mots-de-passe ainsi que celles des clés de déchiffrement dérivées, ou tout acteur de niveau gouvernemental comme par exemple la NSA (par MITM https tant pour le mot-de-passe que les données de géolocalisation).

PS: comme les sessions de icloud.com permettent l'accès, elles contiennent soit le mot-de-passe soit la clé dérivée permettant le même accès, et sont conservées sur la durée (le bouton adéquat au login), pourtant rien n'est indiqué à ce sujet. Là aussi un autre point d'achoppement en terme de sécurité, et d'accès par Apple. Aucune info. Nada!

Ce message a été modifié par iAPX - Hier, 17:07.


--------------------
"Pouf pouf pouf..." - Pierre Desproges
Go to the top of the page
 
+Quote Post
Patounet1
posté Hier, 17:20
Message #69


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 525
Inscrit : 16 Feb 2006
Lieu : Ariège 09300
Membre no 55 743



Bonjour,
Je lisais dans l’article du Figaro (message64)
Citation
la Chine a tapé du poing sur la table…. .

On peut rêver que l’on en fasse de même !
Citation
toutes les données personnelles émises sur son territoire ne doivent pas circuler hors de ses frontières…. .

L’Europe en a fait de même il me semble, mais ça n’a pas eu le même résultat.
Citation
l'App Store chinois, qui censurerait proactivement les applications qui pourraient déplaire à Pékin… .

Il y a bien des sites qui sont inaccessibles, sur Google et autres moteurs de recherche, à la demande de la France, voire l’EU.

Je n’ose pas imaginer les critiques si Apple refusait de se soumettre à une loi, française ou européenne ! Comme le RGPD ?

Oui si vous voulez vendre en Chine vous devez vous soumettre aux lois chinoises, et ils se font respecter.
Pour vendre en Europe, vous devez vous soumettre aux lois et directives européenne. Pas sûr que l'UE se fasse respecter ?


--------------------
G4 MDD 1,25ghz- Ram 1,5Go Mac OSX 10.5.8. carte PCI ->5 ports USB2
MacBook Pro Retina fin 2013, 13", 8Go-256Go SSD. OS X 11.2.En arrêt cardiaque avec la Mise à jour Bigsur, ressuscité après une opération à cœur ouvert et beaucoup de chance.
HP, EliteBook, reconditionné acquis en dépannage.
iPhone SE 2020
Go to the top of the page
 
+Quote Post
downanotch
posté Aujourd'hui, 07:33
Message #70


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 801
Inscrit : 11 Apr 2012
Membre no 175 864



Citation (iAPX @ 2 Dec 2021, 16:34) *
Et Apple a eu accès à ce mot-de-passe lors de la création du compte et toute modification de celui-ci

A la création / modification, le mot de passe n'est pas communiqué tel quel, mais uniquement sous une forme dérivée, non réversible, non ? Ce afin de permettre ensuite de le vérifier pour donner un accès, par exemple à des données qui ne sont pas chiffrées end-to-end sur le serveur.

Les clés de chiffrages end-to-end, dérivées elles aussi du mot de passe mais différemment, requièrent quand à elles le mot de passe pour être utilisables pour déchiffrer les données, le dérivé mentionné précédemment ne suffisant pas.

C'est pas comme ça que c'est sensé fonctionner (en très très gros) pour ce qui est chiffré end-to-end ? Après, rien n'empêche de supposer que l'implémentation est fait de manière à volontairement permettre de contourner une telle sécurité, mais ça, ça reste alors une supposition.
Go to the top of the page
 
+Quote Post

3 Pages V  < 1 2 3
Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 3rd December 2021 - 08:31