GrayKey est désormais connu pour être le nouvel outil incontournable de plusieurs forces de police, pour la simple raison qu’il est capable de déverrouiller un iPhone protégé par mot de passe à 6 chiffres en seulement 11 heures. Si de tels outils se retrouvent entre de mauvaises mains, la sécurité de tous les utilisateurs sera sérieusement menacée, ce qui explique pourquoi nous devons mieux nous protéger.

Matthew Green, un expert en sécurité informatique et professeur au Johns Hopkins Information Security Institute, affirme que GrayKey est capable de casser les mots de passe iPhone à 6 chiffres en 11 heures. En revanche, si les codes sont plus longs, la procédure peut prendre plusieurs avant d’arriver à briser la sécurité d’un smartphone.

D’après les estimations de Green, il ressort qu’un code à quatre chiffres est trouvé entre 6 et 13 minutes, contre 11 à 22 heures pour un code à 6 chiffres, alors que si vous utilisez un code à 8 chiffres, le délai varie de 48 heures à 92 jours. En utilisant un code à 10 chiffres, GrayKey mettrait entre 8 et 25 ans (avec une moyenne de 12 ans) pour casser la sécurité de l’iPhone.

GrayKey fonctionne grâce à une attaque force brute et permet de surmonter le cryptage de l’iPhone sous iOS 11, permettant ensuite l’accès aux données stockées dans ce dernier. L’outil nécessite toujours un accès physique à l’appareil. Une fois connecté, l’outil peut extraire le système de fichiers complet de l’appareil. L’iPhone peut être déconnecté du boîtier GrayKey après environ deux minutes, mais même après la déconnexion, le logiciel continuera à fonctionner sur l’iPhone pour essayer de le déverrouiller, montrant plus tard le code d’accès et d’autres détails sur l’écran de l’iPhone.

GrayKey semble utiliser un exploit qui élimine les protections de sécurité intégrées par Apple, telles que les retards entre une mauvaise tentative et l’autre lors de la saisie du mot de passe, ou la possibilité pour l’utilisateur de supprimer automatiquement les données sur l’iPhone après 10 tentatives incorrectes.

Comme suggéré dans les rapports précédents, on pense que Grayshift, le fabricant de cette boîte, s’appuie sur des exploits zero-day non-révélés pour atteindre ce résultat. La société commercialise son boîtier GrayKey pour 15 000 $ avec un nombre limité à 300 tentatives et une version sans limite pour 30 000 $.

Après le déverrouillage, l’iPhone peut être reconnecté au périphérique GrayKey pour télécharger tout le contenu de l’appareil, accessible via une interface Web sur un ordinateur connecté à Internet. Ces données incluent le contenu non crypté du trousseau intégré sur l’iPhone.

À noter que GrayKey fonctionne avec tous les iPhones et sur toutes les versions iOS jusqu’à la version 11.2.4 pour le moment.

Comment se protéger ?

Les mots de passe à six chiffres sont devenus la norme sur iOS depuis 2015, avec la sortie d’iOS 9. Auparavant, Apple permettait par défaut d’entrer seulement quatre chiffres pour protéger l’iPhone et l’iPad des intrus potentiels. Profitant de l’introduction de l’identifiant tactile et de la reconnaissance faciale, il est désormais possible de choisir des mots de passe plus longs sans avoir à les saisir chaque fois que vous souhaitez utiliser l’appareil.

Évidemment, si le mot de passe est désactivé, la première chose à faire est de l’activer :

  • Aller dans l’application Réglages
  • Sélectionnez Tout ID/Face ID/Code
  • Activer le mot de passe en sélectionnant un mot de passe à 6 chiffres

Comme mentionné ci-dessus, un mot de passe à 6 chiffres peut être trouvé en seulement 11 heures, il peut donc être utile d’insérer un mot de passe encore plus long, peut-être 10.

Sur le même écran, cliquez sur « Changer le code », entrez l’ancien mot de passe et cliquez sur « Options supplémentaires ». De là, vous pouvez sélectionner trois éléments :

  • Code alphanumérique personnalisé
  • Code numérique personnalisé
  • Code numérique à 4 chiffres

Sélectionnez l’un des deux premiers éléments et entrez un nouveau mot de passe d’au moins 10 chiffres. Un mot de passe alphanumérique nécessitera encore plus de temps lors d’une attaque par force brute, surtout si vous insérez des symboles aléatoires, des lettres et des chiffres. Une fois le nouveau mot de passe confirmé, votre iPhone sera beaucoup plus sécurisé.

Partager un commentaire