Apple protège-t-elle correctement vos iMessages ?

Anthony Nelzin-Santos |

Chercheur en cryptographie appliquée à l’Université Johns Hopkins, Matthew Green déplore le flou autour de la sécurité des iMessages. Apple promet qu’elle, ni personne ne peut les lire, mais ne donne aucune preuve pour s’en assurer.





« Les conversations iMessage et FaceTime sont protégées par un chiffrement de bout à bout », explique Apple, « de telle manière que personne hormis l’expéditeur et le destinataire ne peut les voir ou les lire. » Elle ajoute qu’elle ne peut elle-même pas les déchiffrer, ce qui signifie soit que la clef de chiffrement ne quitte jamais l’appareil, soit qu’elle est formée à partir de votre mot de passe.



Green expose une simple expérience qui permet d’invalider ses deux hypothèses :




« D’abord, perdez votre iPhone. Puis, changez votre mot de passe en utilisant le service iForgot d’Apple […]. Maintenant, allez dans un Apple Store et dépensez une fortune pour acheter un nouveau téléphone. Si vous pouvez recouvrer vos iMessages récents sur un nouvel iPhone […] alors Apple ne protège pas votre iMessages avec un mot de passe ou une clef spécifique à un appareil. »




En effet dans ces deux cas, Apple ne connaît pas la clef de chiffrement : elle ne peut donc pas déchiffrer les messages et les restaurer. Or lorsque vous restaurez une sauvegarde iCloud, vous restaurez aussi vos messages, y compris si vous avez changé de mot de passe ou d’appareil. D’une manière ou d’une autre donc, Apple connaît votre clef de chiffrement.



Faut-il donc arrêter de sauvegarder les appareils iOS avec iCloud ? Cela ne changerait pas grand-chose selon Green, puisque les messages transitent via les serveurs d’Apple. La communication entre l’appareil de l’expéditeur, les serveurs d’Apple et l’appareil du destinataire est sujette à des vulnérabilités qui pourraient être exploitées pour accéder aux contenus de vos messages.



Comme l’explique Green, c’est un compromis à faire pour que l’impératif de sécurité ne prenne pas le pas sur l’agrément d’utilisation. Mais il semble donc que rien ne s’oppose à ce qu’Apple puisse lire vos messages, contrairement à ce qu’elle affirme, ou qu’elle les transmette aux autorités.


Tags
#sécurité #Messages
avatar joneskind | 
@eilon : Décrypter des millions de clés 256 bits par force brute ? C'est toi qui est pas sérieux. Quelques unes peut-être, mais surement pas toutes.
avatar daxr1der | 
Jvais vendre du sucre blanc je crois
avatar garba50 | 
Un peu facile tout ça. Une fois le message sur l'iPhone il n'est plus crypté du coup la clé ne se retrouve pas dans la sauvegarde. De plus si je restaure ma sauvegarde je ne reçois les nouveaux messages que si je met mon mot de passe car la sauvegarde ne contient pas de mot de passe
avatar yoa | 
@XiliX, joneskind Ce que je penses : Tu mets ton argent dans un coffre fermé avec une clé. Si tu perds ta clé et qu'un tiers arrive à ouvrir le coffre, soit il a un double de la clé soit il a un passe partout. C'est la même chose avec Apple et son iForgot. Si tu te retrouves à poil (plus de mdp, plus d'iPhone, plus de mac, ...) avec juste ton id iTunes et qu'Apple arrive à te retrouver tes anciens messages chiffrés (ceux dans le coffre) c'est que soit Apple a une double de la clé soit un passe-partout. Peu importe le nombre de clés et les combinaisons utilisées. C'est une évidence, je comprends même pas pourquoi ce mec à un article tellement c'est logique.
avatar Trollolol | 
S'il pouvait virer les certificats du D.o.D des machines apple, ça ferait moins comm' à la con leur bullshit actuel...
avatar iMac 21,5 | 
Il manque tant de choses aux iMessages et aux SMS sur iPhone.. Accusé de réception ( SMS ) et j'en passe..
avatar blahze | 
Heuu il n'y a pas si longtemps un article est passé qui disait que le FBI les trouvait trop sécurisé...^^ Disons tout...mais ne disons rien....
avatar joneskind | 
@yoa : Beh justement, on ne sait pas ce qu'il se passe si tu te retrouve à poil. Ça serait une expérience intéressante à mener. En tout cas, la démonstration du mec est insuffisante. Peu importe qu'Apple mente ou pas. Apple ou jean-mich' de la Cogip, son raisonnement ne tient pas pour les raisons que j'ai donné. T'as tes certitudes, a priori. Moi je me méfie des a priori. Pour mes 3 clés - identifiant Apple - code Pin - numéro d'identification opérateur Mais je suis d'accord avec toi. La difficulté c'est de trouver des clés qui t'appartiennent et dont Apple ne sait rien. Et que, accessoirement, t'aies pas besoin de rentrer quand tu actives un nouveau téléphone. Bref, et pour finir, ma question c'est pas de savoir si Apple ment, parce que ça au fond j'en ai presque rien à foutre. La question c'est de savoir si l'argument de ce chercheur est recevable. Et clairement j'en ai pas l'impression.
avatar blaste | 
@iMac 21,5 : Il manque tant de choses aux iMessages et aux SMS sur iPhone.. Accusé de réception ( SMS ) et j'en passe.. Ca existe sur iMessage.
avatar iMakSe | 
C'est faux : iCloud utilise du stockage pour restaurer les messages, il ne les récupère pas en "scannant" le compte iMessage mais plutôt en utilisant des octets pour stocker les caractères qui sont inclus dans les iMessage mais aussi les SMS.
avatar ipaforalcus | 
Tout le monde mélange tout, ce qui est clair c'est que l'argument de restauration est tout sauf recevable c'est même hilarant car la "sauvegarde" sur iCloud ou iTunes n'as rien à voir avec iMessage et ses protocoles de cryptage qui ne concerne que le transfert des messages entre les appareils et pas le stockage de ceux ci sur l'appareil, le serveur ou le PC (Mac = Personnal Computer, Si si!, Microsoft n'a pas racheté ces deux lettres) pour la sauvegarde (si il y a sauvegarde). Donc Apple a bien accès à vos iMessage présent sur les sauvegarde iCloud mais cela n'a rien à voir avec la sécurité des échanges d'iMessages qui peuvent être cryptés comme Apple le dis c'est pas les techniques qui manque pour ça. Ensuite en cryptographie une seule et unique clé ouvre un seul et unique verrou (1=1 et pas 2), pour en mettre plusieurs il faut mettre plusieurs couche comme par exemple avec le réseau TOR qui garantie l'anonymat sur le net même vis à vis des agences gouvernementales en chiffrant le même paquet autant de fois qu'il y a de routeur à traverser, ainsi chaque serveur connais le serveur précédent et le suivant et c'est tout. Ainsi même une fois déchiffré par le serveur avec la clé fournie le paquet reste chiffré donc illisible et intraçable , le serveur enlève une couche de cryptage et découvre ainsi l'adresse du prochain serveur tout en révélant une nouvelle couche et ainsi de suite jusqu'au destinataire qui sera le seul à pouvoir déchiffrer le contenu original. Ce genre de réseau bien qu'il s'agisse d'un projet libre reste utilisé pour des sites au contenue illégale (vente de drogue, armes, chimie, tout ce qui illégale quoi) où on paye notamment en Bitcoin^^ un vrai internet souterrain qui peut être dangereux car régulé par aucune sorte de loi.

Pages

CONNEXION UTILISATEUR