Durante años, el gobierno de Estados Unidos ha suplicado a los ejecutivos de Apple que creen una puerta trasera para las fuerzas del orden. Apple se resistió públicamente, argumentando que tal iniciativa de aplicación de la ley se convertiría rápidamente en una puerta trasera para los ciber-terroristas y ciberterroristas.
Une bonne sécurité nous protège tous, a poursuivi l'argument.
Plus récemment, cependant, le gouvernement fédéral a cessé de demander une solution de contournement pour passer à travers la sécurité d'Apple. Pourquoi? Il s'avère qu'ils ont réussi à percer par eux-mêmes. La sécurité IOS, ainsi que la sécurité Android, n'est pas aussi solide que l'ont suggéré Apple et Google.
Une équipe de cryptographie de l'Université Johns Hopkins vient de publier un rapport extrêmement détaillé sur les deux principaux systèmes d'exploitation mobiles. Bottom line: Les deux ont une grande sécurité, mais ne l'étendez pas assez loin. Quiconque veut vraiment participer peut le faire avec les bons outils.
Pour les DSI et RSSI, cette réalité signifie que toutes ces discussions ultra-sensibles qui se déroulent sur les téléphones des employés (que ce soit en entreprise ou en BYOD) pourraient être des options faciles pour tout espion d'entreprise ou voleur de données.
Il est temps de creuser dans les détails. Commençons par l'iOS d'Apple et le point de vue des chercheurs de Hopkins.
"Apple encourage l'utilisation généralisée du cryptage pour protéger les données des utilisateurs stockées sur l'appareil. Cependant, nous avons observé qu'une quantité surprenante de données sensibles détenues par les applications embarquées est protégée par une classe de protection basse "disponible après le premier déverrouillage" (AFU), qui n'éjecte pas les clés de déchiffrement de la mémoire de données lorsque le téléphone est verrouillé. L'impact est que la grande majorité des données utilisateur sensibles dans les applications intégrées d'Apple sont accessibles à partir d'un téléphone qui est logiquement capturé et utilisé lorsqu'il est allumé mais verrouillé. Nous avons trouvé des preuves indirectes dans les procédures du DHS et les documents d'enquête que la police exploite désormais régulièrement la disponibilité des clés de déchiffrement pour capturer de grandes quantités de données sensibles à partir de téléphones verrouillés. "Eh bien, c'est le téléphone lui-même. Qu'en est-il du service iCloud d'Apple ? Il y a quelque chose?
Oh oui il y en a.
«Nous avons examiné l'état actuel de la protection des données pour iCloud et avons déterminé, sans surprise, que l'activation de ces fonctionnalités transmet une grande quantité de données utilisateur aux serveurs Apple, sous une forme accessible à distance, les criminels obtenant un accès non autorisé à un utilisateur du cloud. . compte, ainsi que les organismes d'application de la loi autorisés avec pouvoir d'assignation. Plus surprenant, nous avons identifié plusieurs fonctionnalités contre-intuitives d'iCloud qui augmentent la vulnérabilité de ce système. Par exemple, la fonctionnalité "Messagerie dans iCloud" d'Apple annonce l'utilisation d'un conteneur crypté de bout en bout inaccessible à Apple pour synchroniser les messages entre les appareils. Cependant, l'activation simultanée d'iCloud Backup entraîne le téléchargement de la clé de déchiffrement de ce conteneur sur les serveurs d'Apple sous une forme à laquelle Apple et les attaquants potentiels ou les forces de l'ordre peuvent accéder. Nous avons également constaté que la conception de la sauvegarde iCloud d'Apple entraînait la transmission à Apple de clés de cryptage de fichiers spécifiques à l'appareil. Étant donné que ces clés sont les mêmes que celles utilisées pour chiffrer les données sur l'appareil, cette transmission peut présenter un risque dans le cas où un appareil serait ultérieurement physiquement compromis. Qu'en est-il du célèbre Secure Enclave Processor (SEP) d'Apple ?
« Les appareils iOS imposent des limites strictes aux attaques de devinettes de mot de passe à l'aide d'un processeur dédié appelé SEP. Nous avons examiné le journal d'enquête public pour examiner les preuves indiquant clairement qu'à partir de 2018, des attaques par estimation de code secret étaient possibles sur les iPhones compatibles SEP à l'aide d'un outil appelé GrayKey. À notre connaissance, cela indique probablement qu'un contournement du logiciel SEP était disponible dans la nature pendant cette période. "Qu'en est-il de la sécurité Android ? Pour commencer, leurs protections de cryptage semblent être encore pires que celles d'Apple.
"Comme Apple iOS, Google Android fournit le cryptage des fichiers et des données stockés sur le disque. Cependant, les mécanismes de cryptage d'Android offrent moins de gradations de protection. En particulier, Android ne fournit aucun équivalent de la classe de chiffrement Full Protection (CP) d'Apple, qui supprime les clés de déchiffrement de la mémoire peu de temps après le verrouillage du téléphone. Par conséquent, les clés de décryptage Android restent en mémoire à tout moment après le "premier déverrouillage" et les données de l'utilisateur sont potentiellement vulnérables à la capture médico-légale. "Pour les DSI et les RSSI, cela signifie que vous devez faire confiance à Google ou à Apple ou, beaucoup plus probablement, aux deux. Et vous devez également supposer que les voleurs et les forces de l'ordre peuvent également accéder à vos données quand ils le souhaitent, tant qu'ils peuvent accéder au téléphone physique.
<p>Copyright © 2021 IDG Communications, Inc.</p>