Une entreprise spécialisée dans la fabrication d’outils de craquage de mots de passe affirme qu’une nouvelle vulnérabilité trouvée dans la puce T2 des Mac lui permet de craquer des mots de passe et de déchiffrer un appareil.
La puce T2 d’Apple, entre autres fonctionnalités, permet à un utilisateur de Mac de chiffrer et de déchiffrer les données sur son SSD. Ce cryptage est renforcé par d’autres fonctionnalités de sécurité, telles qu’une limitation du nombre de tentatives de découverte de mots de passe pour atténuer les attaques par force brute.
Étant donné que le mot de passe d’un Mac n’est pas stocké sur son SSD, le contournement de ce cryptage signifie qu’un pirate peut déchiffrer la clé de décryptage, mais cela prendrait des millions d’années. Cependant, une société appelée Passware dit qu’elle peut désormais contourner ce mécanisme de sécurité. Les outils de déverrouillage de Passware étaient déjà capables de déchiffrer les mots de passe sur les Mac sans la puce T2, mais désormais, un composant ajouté à la dernière version du logiciel peut également contourner la protection contre une attaque force brute sur les puces T2.
Le résultat final est qu’un attaquant peut appliquer une liste de mots de passe et forcer le mot de passe d’un Mac, ce qui permet de déchiffrer les données de l’appareil. Cependant, les attaques activées par les logiciels de passe sont lentes, car l’outil de l’entreprise peut deviner 15 mots de passe par seconde. Si le mot de passe d’un utilisateur est relativement long, l’attaque peut encore prendre des milliers d’années. Les mots de passe plus courts sont plus vulnérables, avec un mot de passe à six caractères décrypté en environ 10 heures. La société propose également une liste d’environ 550 000 mots de passe couramment utilisés ainsi qu’une autre qui dépasse environ 10 milliards de mots de passe.
L’outil mis à jour est disponible à la fois pour les clients gouvernementaux et les entreprises qui peuvent fournir une justification valable de son utilisation. Le prix est de 1 990 $.
