Ouvrir le menu principal

MacGeneration

Recherche

Passware parvient à trouver le mot de passe des Mac T2 par force brute

Mickaël Bazoge

jeudi 17 février 2022 à 19:30 • 83

Mac

La société Passware, qui s'est fait une spécialité des solutions de déverrouillage des Mac et des PC par force brute, est parvenue à « craquer » la puce T2. Mais attention, le processus nécessite de 10 heures à… plusieurs milliers d'années, en fonction du mot de passe et de sa longueur. Mais cela reste possible grâce à une vulnérabilité exploitée par l'entreprise, dont les clients sont principalement les forces de l'ordre mais aussi des entreprises.

La puce T2, au centre de la carte-mère de l’iMac Pro. Image iFixit (CC BY-NC-SA).

Passware savait déjà récupérer les mots de passe de Mac plus anciens (sans puce T2) et déchiffrer les volumes protégés avec FileVault avec une technique de force brute : grâce à l'accélération GPU, le logiciel pouvait tester des dizaines de milliers de mots de passe par seconde, ce qui lui permettait de pénétrer rapidement par effraction sur les machines.

La puce T2 inaugurée en 2018 (et qui est toujours à l'œuvre dans les derniers Mac Intel au catalogue) a rendu les choses plus difficiles. Son enclave sécurisée conserve le mot de passe du Mac, alors qu'auparavant il se trouvait dans l'espace de stockage de l'ordinateur. Par ailleurs, la puce limite le nombre de tentatives de saisie de mots de passe, avec des délais d'attente de plus en plus importants (lire le livre blanc sur la puce T2).

Test de l’iMac Pro 2017 : tout ce que vous n’avez jamais voulu savoir sur la puce T2 et Secure Boot

Test de l’iMac Pro 2017 : tout ce que vous n’avez jamais voulu savoir sur la puce T2 et Secure Boot

Selon 9to5Mac, Passware a mis au point un moyen de contourner ces protections censées empêcher l'utilisation de la force brute. Les détails techniques sont inconnus, néanmoins le processus est beaucoup plus lent : une quinzaine de tentatives mots de passe par seconde. Pour les Mac T2 protégés par des mots de passe de 6 lettres, le malandrin peut espérer un résultat dans les dix heures.

L'éditeur précise que ce nouveau module de déverrouillage par la force n'est proposé qu'aux gouvernements et aux entreprises qui fournissent une justification valable. Une sécurité bien maigre… Il faut noter que l'outil de Passware ne peut fonctionner qu'avec un accès physique au Mac. Pour se prémunir de ce genre d'attaque, on peut opter pour un mot de passe long qui n'utilise pas de mots communs que l'on peut trouver dans les dictionnaires, et y inclure des caractères spéciaux. Plus facile à dire qu'à faire !

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Bon plan : le MacBook Air M2 avec 16 Go de RAM à 825 €, un prix record 🆕

05/05/2025 à 23:09

• 2


Pourquoi votre Mac mérite un écran BenQ (et pas juste un moniteur générique) 📍

05/05/2025 à 17:05

• 0


Scroll to Zoom, un utilitaire gratuit pour zoomer en tournant la molette de votre souris

05/05/2025 à 16:42

• 11


Apple pas peu fière de lancer un nouveau bracelet Pride pour l’Apple Watch

05/05/2025 à 15:37

• 133


Starlink lance un routeur mini pour accompagner son antenne mini

05/05/2025 à 12:33

• 4


MailMaven, un nouveau client mail déjà bien équipé en fonctions et options de tri

05/05/2025 à 11:45

• 20


Comme prévu, Skype a fermé ses portes au profit de Microsoft Teams

05/05/2025 à 08:31

• 18


Tim Cook, absent de la commémoration des 100 jours de Donald Trump, envoie ses remerciements depuis l’Apple Park

04/05/2025 à 21:15

• 50


Test du Chipolo Pop, le traqueur Bluetooth multi-réseau (Apple ou Google) qui innove

04/05/2025 à 20:17

• 12


iPhone Air, Pro et pliable : Apple prépare de grands bouleversements

03/05/2025 à 18:51

• 99


Quelle est la capacité de stockage de votre Mac ?

03/05/2025 à 15:00

• 140


Fnac : 10 € offerts tous les 100 € sur des produits Apple et autres

03/05/2025 à 08:32

• 7


Sortie de veille : Apple tient bon la barre, mais cela va-t-il durer ?

03/05/2025 à 08:00

• 25


TikTok écope de 530 millions d’euros d'amende en Union européenne

02/05/2025 à 21:45

• 57


Apple aurait intégré l’IA Claude dans une version interne de Xcode, enterrant un peu plus Swift Assist

02/05/2025 à 20:45

• 36


Enfin une solution simple pour télécharger vos vidéos et playlists préférées sur YouTube

02/05/2025 à 17:35

• 0