Qu'est-ce que GrayKey? Un outil qui casse le cryptage et les mots de passe de l'iPhone
Le chiffrement est une aubaine pour quiconque utilise un appareil numérique. Internet serait un endroit dangereux sans cryptage 5 types de cryptage courants et pourquoi vous ne devriez pas créer vos propres 5 types de cryptage courants et pourquoi vous ne devriez pas créer vos propres Est-ce une bonne idée de lancer votre propre algorithme de cryptage? Vous êtes-vous déjà demandé quels types de cryptage sont les plus courants? Découvrons-le. En savoir plus, tout comme les points d'accès Wi-Fi et les appareils protégés par mot de passe comme l'iPhone.
Cependant, l'iPhone n'est plus le bastion de la sécurité qu'il était. Les organismes américains chargés de l'application de la loi utilisent un outil peu coûteux pour contourner le cryptage iPhone, réduisant considérablement la confidentialité des données tout en portant atteinte à la sécurité..
Voici un nouvel aperçu du nouvel outil GrayKey: ce qu'il fait, pourquoi il est dangereux et pourquoi Apple s'en inquiète.
Apple contre le FBI
Avant d’examiner GrayKey, un peu de contexte pour le chiffrement de l’iPhone et pour tenter de le déchiffrer.
Rappelez-vous l'iPhone de San Bernardino? Après un attentat terroriste à San Bernardino, le FBI a poursuivi Apple en justice. Le FBI voulait que Apple crée une porte dérobée de cryptage leur permettant de contourner la sécurité de l’iPhone de l’un des terroristes décédés. Naturellement, Apple a refusé, affirmant à juste titre qu’une fois la porte dérobée créée, elle ne serait jamais fermée. Pourquoi ne devrions-nous jamais laisser le gouvernement briser le cryptage? Pourquoi ne devrions-nous jamais laisser le gouvernement briser le cryptage? : créer des backdoors de cryptage accessibles au gouvernement. Mais ce n'est pas pratique. Voici pourquoi le cryptage est vital dans la vie quotidienne. Lire la suite .
La société de sécurité israélienne Cellebrite a finalement trouvé un moyen de contourner les mécanismes de sécurité d’Apple en utilisant une vulnérabilité précédemment inconnue. Et il n'y avait rien de remarquable au téléphone. Notez également qu’à l’époque, le service Cellebrite coûtait 5 000 dollars par appareil et que le téléphone devait être envoyé à leur installation sécurisée..
Flash forward to 2017. Une société connue sous le nom de Grayshift apparaît sur le marché et vend son nouveau produit: GrayKey. Le but de GrayKey n’était pas clair jusqu’à ce que Thomas Fox-Brewster dévoile l’appareil dans une exclusivité Forbes, avec plusieurs photos et un aperçu de ce que le débloqueur GrayKey pour iPhone fait exactement..
Le débloceur iPhone GrayKey
Voici ce que l'on sait sur le déblocage GrayKey pour iPhone jusqu'à présent.
Le périphérique GrayKey est lui-même une petite boîte grise mesurant quatre pouces de profondeur sur deux pouces de hauteur. La boîte est livrée avec deux câbles Lightning dépassant l’avant pour connecter deux iPhones à la fois..
Un iPhone se connecte au périphérique GrayKey pendant environ deux minutes, après quoi ils sont déconnectés mais pas encore fissurés. La durée réelle du processus de craquage varie en fonction de la force du mot de passe.
Un code d'authentification facile prend environ deux heures à craquer via la force brute, tandis que des codes plus difficiles (six chiffres) peuvent prendre trois jours ou plus. La documentation GrayKey, également vue par Malwarebytes, ne mentionne pas les temps de craquage pour les combinaisons plus longues.
Lorsque la fissure trouve le code d'accès de l'appareil, le téléphone affichera un écran noir indiquant le code avec les autres informations sur l'appareil. (Conseils pour créer un mot de passe fort et mémorable. Comment créer un mot de passe fort que vous n'oublierez pas Comment créer un mot de passe fort que vous n'oublierez pas Savez-vous comment créer et conserver un bon mot de passe? Voici quelques conseils et astuces maintenir des mots de passe forts et distincts pour tous vos comptes en ligne.
GrayKey télécharge tout l'iPhone
Le dispositif de déverrouillage affiche le code d'accès de l'appareil, mais il télécharge également l'intégralité du système de fichiers de l'iPhone sur l'appareil GrayKey. La GrayKey se connecte ensuite à une interface Web où elle est disponible pour l'analyse..
L'image ci-dessous montre les résultats d'un iPhone X fissuré. Notez le “Code trouvé,” le tout récent “Une version de logiciel,” et le “Sauvegarde iTunes” et “Système de fichiers complet” disponible au téléchargement (y compris leur hash SHA256).
GrayKey coûte beaucoup d'argent
Le déverrouillage iPhone de GreyKey a deux versions différentes.
Le premier modèle coûte 15 000 $ et nécessite une connexion Internet pour fonctionner. Dans ce cas, l’appareil est connecté à son réseau d’installation initial pour s’assurer que la GrayKey n’est pas facilement transférée. D'autres rapports affirment que le modèle de connexion Internet persistante n'autorise également que 300 déverrouillages, soit 50 USD par iPhone..
Le second modèle coûte 30 000 USD et fonctionne hors ligne, sans limitation apparente du nombre d'utilisations du périphérique GrayKey. L’appareil fonctionnera probablement jusqu’à ce qu’Apple comprenne enfin la vulnérabilité et la corrige..
Quels organismes d'application de la loi ont une GrayKey?
Même s’il s’agit là d’énormes sommes d’argent, les budgets des organismes d’application de la loi s’allongeront facilement (ou miraculeusement, selon les organismes) pour obtenir un outil qui crée une toute nouvelle avenue d’information. Surtout une auparavant impossible à obtenir pour de nombreuses agences, du moins dans une capacité apparemment si simple.
Une enquête en cours sur la carte mère a révélé que plusieurs types d’agences avaient déjà acheté une GrayKey:
- Police locale: La police du comté de Miami-Dade a indiqué qu'elle aurait pu acheter un appareil GrayKey.
- Police régionale: La police d’État du Maryland et la police d’État d’Indiana ont publié des formulaires d’achat d’appareils GrayKey..
- Police de la ville: Des documents indiquent également que la police métropolitaine d'Indianapolis a reçu une citation de Grayshift concernant des périphériques GrayKey..
- Service secret: Emails montrent que l'agence envisage d'acheter six périphériques GrayKey.
- Département d'Etat: Le Bureau de la sécurité diplomatique du département d'État a acheté un article de 15 000 USD à Grayshift en mars 2018, selon les dossiers des marchés publics..
- BRIGADE DES STUPÉFIANTS: La Drug Enforcement Agency a publié un document Sources recherchées pour un périphérique GrayKey hors ligne..
- FBI: Les archives en ligne des marchés publics montrent que le FBI cherche à acheter six périphériques GrayKey..
Si GreyKey de Greyshift continue de fournir aux autorités des données iPhone jusque-là impossibles à obtenir, vous verrez probablement plus de formulaires d’achat pour les agences..
L’IRS est désormais un client de GrayShift - Achat d’un kit de piratage pour iPhone de 15 000 $ https://t.co/lWDLQscSHY
- Thomas Fox-Brewster (@iblametom) 23 juin 2018
Que fait Apple pour arrêter GrayKey??
Comme vous pouvez l’imaginer, Apple n’est pas ravi de la violation publique de la sécurité de l’iPhone. Et pas seulement les vieux iPhone, nous parlons d'appareils haut de gamme exécutant certaines des dernières versions d'iOS. Apple ne va pas attendre que Grayshift maintienne la vulnérabilité ouverte.
Dans la version bêta publique actuelle pour iOS 12, une nouvelle fonctionnalité limite considérablement l’accès au port Lightning d’un iPhone verrouillé. (Plus de fonctionnalités à venir sur votre iPhone avec iOS 12! Nouveautés de iOS 12? 9 Changements et fonctionnalités à vérifier Nouveautés de iOS 12? 9 Changements et fonctionnalités à vérifier iOS 12 est arrivé. Découvrez les nouvelles fonctionnalités passionnantes maintenant disponibles. sur un iPhone ou un iPad près de chez vous. Lire la suite)
“Nous renforçons constamment les protections de sécurité de chaque produit Apple pour aider les clients à se défendre contre les pirates informatiques, les voleurs d'identité et les intrusions dans leurs données personnelles.,” Un porte-parole d'Apple a déclaré à Reuters. “Nous avons le plus grand respect pour les forces de l'ordre et nous ne concevons pas nos améliorations en matière de sécurité pour contrecarrer leurs efforts pour faire leur travail..”
iOS 12 rendra les attaques par force brute au port Lightning inutiles en désactivant l'accès via cet itinéraire après seulement une heure. Le nouveau mode USB restreint arrêtera toute communication de données à partir d'un périphérique nouvellement connecté après cette période de 60 minutes, rendant ainsi la GrayKey inutilisable. Les paramètres actuels du mode restreint USB sont limités à une semaine, ce qui permet aux autorités de disposer d'un long délai pour forcer le mot de passe par force..
Comment vous protéger contre GrayKey?
Compte tenu de la mise à jour entrante vers iOS 12 et de l'introduction de restrictions en mode restreint USB, vous ne pouvez faire qu'une seule chose à présent: mettez à jour vos codes d'authentification. Vous devez toujours utiliser au moins huit chiffres pour protéger votre téléphone. Sinon, pour encombrer réellement la sécurité de votre iPhone, passez à une phrase secrète plus longue..
iOS prend en charge les codes numériques et alphanumériques personnalisés de toute longueur. Un mot de passe utilise plusieurs mots pour créer un verrou beaucoup plus puissant Pourquoi les mots de passe sont-ils toujours meilleurs que les mots de passe et les empreintes digitales Pourquoi les mots de passe sont-ils encore meilleurs que les mots de passe et les empreintes digitales Vous souvenez-vous que les mots de passe ne doivent pas être compliqués? Quand les NIP étaient-ils faciles à retenir? Ces temps sont révolus et les risques de cybercriminalité font que les scanners d'empreintes digitales sont quasiment inutiles. Il est temps de commencer à utiliser des codes d'authentification… Lire Plus que votre code PIN ou votre mot de passe habituel. Découvrez la bande dessinée XKCD extrêmement pertinente pour plus d'informations:
La zone grise en cours de GrayKey
À l'heure actuelle, les organismes d'application de la loi détiennent les cartes. Dans un sens, au moins. Un iPhone avec une sécurité faible est vulnérable. Toutefois, cette situation risque de ne pas durer très longtemps, à moins que Grayshift ne cesse de rechercher des vulnérabilités et des solutions de contournement pour les correctifs de sécurité iPhone d'Apple. En outre, la GrayKey n'est pas sans précédent.
L'IP-Box était un appareil similaire pouvant accéder aux informations des iPhones verrouillés exécutant des versions iOS plus anciennes. Sa fonctionnalité a cessé avec la mise à jour iOS 8.2 mais a donné naissance à l'IP-Box 2. L'IP-Box 2 est toujours largement disponible, mais nécessite de savoir comment retirer les puces de circuit intégré pour les insérer dans l'appareil..
Il y a aussi d'autres implications. L'iPhone est-il vulnérable de manière permanente une fois la fissuration du mot de passe terminée? Le propriétaire de l'iPhone peut-il utiliser son téléphone normalement, ou devra-t-il être remplacé??
Et enfin, comment les autorités devraient-elles décider quand utiliser leur périphérique GrayKey? Je veux dire, existe-t-il un protocole défini qui régit la fissuration du mot de passe du périphérique à l'aide d'un outil tiers? Ont-ils besoin d'un affidavit, de suspicion raisonnable, etc.?
Les implications en cours et le débat entourant la fissuration du mot de passe de l'iPhone à l'aide d'un périphérique GrayKey se poursuivront. Je suis sûr que la majorité des lecteurs s'attendent à ce que les forces de l'ordre fassent tout ce qui est en leur pouvoir pour protéger les victimes. Si la fissuration du mot de passe devient un principe fondamental de la sécurité civique, faites-vous confiance aux autorités pour exercer ce pouvoir au bon moment?
Et vous voudriez simplement augmenter la quantité de cryptage sur votre appareil Tous les principaux systèmes d'exploitation pour smartphones offrent le cryptage des appareils, mais devriez-vous l'utiliser? Voici pourquoi le cryptage sur un smartphone en vaut la peine et n’affectera pas la façon dont vous utilisez votre smartphone. Lire plus pour contrecarrer leurs efforts?
En savoir plus sur: cryptage, iPhone, sécurité pour smartphone.