La sécurité du système d'exploitation iOS fait couler beaucoup d'encre ces derniers mois. Dernièrement, un début de "buzz" (le 25 mai, 119 articles différents selon Google News) dans les différents forums de téléphonie mobile met en cause le chiffrement matériel de iOS4. C'est en fait il y a déjà 6 mois (9 décembre 2010) que la société Elcomsoft, spécialisée dans le “cassage” des mots de passes, diffuse via son site web un communiqué de presse annonçant de meilleures performances pour un de leur logiciel de cassage de mot de passe pour téléphone. Le communiqué passe relativement inaperçu, probablement à cause du positionnement plutôt Forensic de l'outil.

Pour comprendre ce que fait ce logiciel, il est important de saisir les différents tenants et aboutissants de la sécurité des appareils mobiles de la firme à la pomme. Concernant le chiffrement des données, dès l'apparition de la version 4.0 d'iOS, Apple (comme RIM depuis longtemps) s'appuie sur un chiffrement matériel de 256 bits des données, censé être sûrs. Ces sécurité ont déjà été mises à mal en février 2011 par des chercheurs de l'institut Fraunhofer (www.sit.fraunhofer.de/Images/sc_iPhone%20Passwords_tcm501-80443.pdf). De son côté, Elcomsoft développe depuis quelques années des systèmes de déchiffrage distribués (on se rappelle l'inculpation, puis la brève détention aux USA du fondateur en 2001 pour avoir « offert au public un logiciel qui permette de contourner les protections technologique du matériel sous copyright »). La plupart de ces logiciels fonctionnent selon le principe de la « force brute ». La puissance atteinte ces dernières années par les couples processeurs-cartes graphiques (technique connue sous le nom de GPGPU) permet effectivement aujourd'hui de passer outre les systèmes de chiffrements dans un délai relativement court.

Techniquement, le logiciel est capable de gérer jusqu'à 32 processeurs centraux et 8 processeurs graphiques. Il travaille sur les backups des appareils en combinant attaques par dictionnaires et force brute. Même avec une telle conjonction de puissance de calcul, un chiffrement avec un mot de passe long (plus de 12 caractères de type alphanumériques + caractères spéciaux) requiert un temps très long.

Hors l'effet d'annonce, voulu ou non, le danger n'est donc pas aussi grand que l'on voudrait nous le faire croire. En effet, afin d'obtenir une sauvegarde d'un appareil mobile, un identifiant est demandé et aucun logiciel n'existe pour l'instant pour obtenir celui-ci. Comme souvent, c'est la conjonction de plusieurs attaques qui pourraient se révéler dangereuse. Un scénario réaliste aurait la forme suivante :

1. Vol d'un téléphone
2. Prise de renseignement sur la personne, ingénierie sociale afin de découvrir son identifiant (par exemple compte Apple)
3. Sauvegarde de l'appareil
4. Attaque du mot de passe du keychain (trousseau de mot de passe iOS)

C'est bien sur la dernière partie que ce « nouvel » outil est capable de travailler, reste à protéger le reste des points ...