La puce T2 protège les Mac contre les attaques par force brute

Stéphane Moussie |

À l’instar des iPhone, les Mac équipés de la puce T2[1] ont une protection spéciale contre les attaques par force brute. Sur iOS, vous pouvez taper consécutivement quatre codes de déverrouillage incorrects avant qu’un délai soit imposé à chaque nouvelle tentative : 1 minute au 5e essai, 5 min au 6e, 15 min au 7e et 8e, et enfin 1 heure au 9e.

Le principe est le même sur les Mac T2, mais avec un nombre de tentatives plus élevé :

  • tentatives 1 à 14 : pas de délai
  • tentatives 15 à 17 : 1 min de délai
  • tentatives 18 à 20 : 5 min de délai
  • tentatives 21 à 26 : 15 min de délai
  • tentatives 27 à 30 : 1 heure de délai
La puce T2, au centre de la carte-mère de l’iMac Pro. Image iFixit (CC BY-NC-SA).

Les délais sont gérés par la puce T2, si bien que même si le Mac est redémarré, ils sont toujours actifs.

Apple explique dans le guide de la puce T2 que pour éviter qu’un programme malveillant cause une suppression accidentelle des données, le disque n’est pas effacé quand la limite des essais est atteinte sur macOS (une option de suppression après 10 tentatives est disponible sur iOS).

Dix essais supplémentaires sont accordés en démarrant sur la partition de restauration. Si ces dix essais sont épuisés, 90 autres sont ensuite possibles en utilisant chaque fonction de restauration de FileVault (30 pour la restauration avec iCloud, 30 pour la clé de secours locale et enfin 30 pour la clé créée par l’administrateur système, le cas échéant).

Si après toutes ces tentatives vous n’avez toujours pas tapé le bon mot de passe, c’est cuit, les données sont bloquées indéfiniment, il n’est plus possible d’y accéder. La seule option disponible est alors d’effacer le disque pour repartir de zéro.


  1. iMac Pro, MacBook Air 2018, Mac mini 2018, MacBook Pro 2018  ↩

avatar CorbeilleNews | 

La puce T2 me protège d'un achat de mac, avant c'était le tout soudé, la quantité de ports anémique, mais ça c'était avant

avatar romainB84 | 

vois le bon coté, Apple t'as fait economiser 1500€ au moins ;)

avatar CorbeilleNews | 

@romainB84

Et oui et depuis plus de 10 ans sans mac je dirais même plus 😀

Sans compter sur les prochains qui ne seront plus des mac mais des Linux, cela en fait des économies 😏

Apple à augmenté mon pouvoir d'achat, merci Tim 👌

avatar romainB84 | 

@CorbeilleNews

Bah ouais !
Du coup j’ai du mal à comprendre ce bashing anti Apple 😁
Si tu ne trouves pas leur produit trop cher bah t es content 😁
Et si tu les trouves trop cher, vu que tu les achètes pas bah t’es content aussi vu que t’as gagner de l’agent 😁! Comme quoi c’est trop bien les produits Apple 😂😂

avatar Pipes Chapman | 

@RomainB84

tu ne peux comprendre le "hating" que si tu l'envisages sous son véritable angle.
Par un phénomème qu'il serait long de développer Apple est devenu la cible de projection des frustrations, des aigreurs, des échecs, des difficultés diverses, des amertumes... etc etc de tout une frange de posteurs qui viennent ici quotidiennement vivre une catharsis. En psy on appelle cela une identification projective.

avatar tigre2010 | 

Si le disque n’est pas chiffré, on peut quand même le démonter pour y récupérer des données? La puce ne chiffre pas les données d’elle-même, il faut activer l’option, rassurez-moi.

avatar SyMich | 

Il n'y a pas de disque à proprement parler. Le SSD est constitué de plusieurs puces de mémoire flash réparties sur la carte mère.

avatar tigre2010 | 

@SyMich

Erf oui, j’ai oublié que c’était du tout soudé.
Et c’est éparpillé sur la CM? Donc on peut même pas déssouder une puce pour retrouver tout les données :(

avatar sinbad21 | 

Apple devrait faire une gamme « famille » à côté de la gamme actuelle (rebaptisée Pro), sans puce T2, sans toutes ces sécurités qui nous empoisonnent la vie et ne servent à rien pour 90% des utilisateurs lambda, et moins chère du coup.

avatar tigre2010 | 

@sinbad21

Oh oui, un iMac air vs un iMac pro :D

avatar fte | 

@tigre2010

"on peut quand même le démonter"

Non, le stockage est soudé chez Apple, pas de démontage.

avatar oomu | 

La puce T2, si ses fonctionnalités sont contrôlées par l'utilisateur, elle serait un argument d'achat, pas une menace.

Ce qui vous inquiète c'est pour la réparabilité et pouvoir agir sans Apple.

Par contre, en sécurité pour limiter l'accès aux données de votre machine, c'est un gain.

Encore une fois, concernant l'Informatique de Confiance, ou "trusting computing", tout comme les mesures de protection technique, ou "drm", c'est la question du contrôle par le propriétaire de la machine qui se pose.

avatar reborn | 

@oomu

La T2 peu se désactiver, plus de problème 👌

avatar mimolette51 | 

La question est de savoir si ca sera toujours désactivable dans la version N+1 ou N+2 d'Apple. Et là, rien n'est moins certain!

avatar fte | 

@reborn

"La T2 peu se désactiver, plus de problème 👌"

Tant que Apple ne décide pas d’activer sans donner le choix. Peut-on empêcher Apple de le faire ? Si oui, fantastique. Si non, problème retardé.

avatar byte_order | 

@reborn
> La T2 peu se désactiver, plus de problème 👌

Vu que c'est elle qui :
- gère le contrôleur PCIe NVMe du SSD
- gère le code du 1er étage du bootloader

Non, elle ne peut pas être totalement désactivée.

avatar reborn | 

Je parlais de la sequence de boot securisé

avatar byte_order | 

@reborn
Y'a une nuance entre l'existence d'une option dans cette séquence de boot sécurisé et l'existence d'une option fixe et définitive de désactivation de tout rôle de la puce T2.

L'existence de cette option est entièrement sous le contrôle de l'éditeur du firmware qui s'exécute sur cette puce. Cette option peut donc parfaitement est modifiée sans aucun contrôle ni opposition possible du propriétaire de la machine, lors d'une maj automatique de ce firmware, les maj automatiques "systèmes" étant activées par défaut dans macOS depuis quelques temps.

avatar F7544 | 

@oomu

+ 1

avatar MacGyver | 

peut on neanmoins couper le doigt de l'utilisateur et le mettre sur le bouton touch ID afin de retrouver des infos compromettantes ?

avatar IceWizard | 

@MacGyver
"peut on neanmoins couper le doigt de l'utilisateur et le mettre sur le bouton touch ID afin de retrouver des infos compromettantes ?"

Je crois qu'il y a un truc vérifiant si du sang circule dans le sang, pour éviter le gag. Au lieu de couper le doigt de l'utilisateur, tu poses le cutter sur sa jugulaire en lui demandant gentiment de te rendre un service.

avatar IceWizard | 

" Sur iOS, vous pouvez taper consécutivement quatre codes de déverrouillage incorrects avant qu’un délai soit imposé à chaque nouvelle tentative : 1 minute au 5e essai, 5 min au 6e, 15 min au 7e et 8e, et enfin 1 heure au 9e."

Que de fous rires avec ma nièce, quand on piquais l'iPod Touch de son frère, pour taper le plus possible de combinaisons avant qu'il ne nous arrache l'appareil des mains !

avatar frankm | 

Il n'y a pas une chinoise qui s'est retrouvée avec 47 ans d'attente car son jeune enfant avait tripoté son iPhone !?
https://www.igen.fr/ios/2018/03/la-vieille-histoire-de-liphone-verrouill...

avatar IceWizard | 

@frankm
"Il n'y a pas une chinoise qui s'est retrouvée avec 49 ans d'attente car son jeune enfant avait tripoté son iPhone !?"

C'était un cas un peu particulier. i

OS, comme tous les systèmes d'exploitation dérivés d'Unix, gère le temps en comptant le nombre de secondes depuis une date de référence (le premier janvier 1970). A la suite des manipulations du gosse, le device a calculé l'instant du déblocage Heure Courante + 1 heure normalement. Mais un problème est survenu dans le système de mise à jour automatique de l'horloge (le truc qui ajuste l'heure tout seul quand on change de fuseau horaire). Le compteur temporel de l'iPhone ayant été réinitialisé à 0, il s'est cru en Janvier 1970, presque 50 ans avant la date de déblocage programmée !

MacG avait publié un article détaillé sur le sujet, à l'époque.

EDIT : Je vois que tu as retrouvé l'article et édité ton post, alors que j'étais en train de poster ma réponse ..

avatar frankm | 

@IceWizard

J’ai survolé l’article. Pas fait attention pour le temps 0 de unix

Pages

CONNEXION UTILISATEUR