Sauvegardes iTunes: sécuriser à nouveau dans iOS 10.1

Publié octobre 12^th, 2016 — Mis à jour il y a plus d'une semaine

Par

Alexandra Petrus Éthique et vérification des faits

iOS 10 a atteint un taux d'adoption de 65% parmi tous les utilisateurs Apple, selon un rapport d'adoption d'utilisateur en temps quasi réel de Mixpanel. Le taux d'adoption pour iOS 10 a commencé plus lentement après le lancement et s'est accéléré au cours des 2 dernières semaines. Les statistiques officielles sur la page des développeurs d’Apple montrent que seulement 54% des appareils utilisent actuellement iOS 10. C’est environ un demi-milliard d’appareils actifs.

Dans iOS 10, Apple a apporté un certain nombre de modifications aux sauvegardes iTunes cryptées et protégées par mot de passe. Les modifications incluaient le cryptage des informations clés appelées métadonnées sur les sauvegardes, telles que la date à laquelle les fichiers avaient été modifiés pour la dernière fois, leur taille et des informations supplémentaires nécessaires pour les déchiffrer.

Le chiffrement de sauvegarde est activé par les utilisateurs qui souhaitent chiffrer des données, notamment les paramètres Wi-Fi, l'historique du navigateur, les données de santé et les mots de passe. Nous vous recommandons vivement de le faire. La seule chose qui se situe entre les informations privées et les pirates est ce mot de passe. Par conséquent, la faille de sécurité affectant les mots de passe iTunes a provoqué une telle agitation plus tôt en septembre.

Les sauvegardes iOS 10 incluaient un hachage de mot de passe permettant de vérifier si l'utilisateur avait entré le mot de passe correct pour déchiffrer la sauvegarde. Cela permettait beaucoup plus facilement aux pirates d’utiliser la force brutale pour déchiffrer les mots de passe des sauvegardes chiffrées. Pour rompre le cryptage, un attaquant a pu essayer plusieurs milliers de mots de passe rapidement jusqu'à en trouver un qui corresponde au hachage du mot de passe.

Théoriquement, la faille de sécurité introduite pour les sauvegardes cryptées iTunes pourrait avoir affecté une proportion raisonnable du demi-milliard d'appareils sur iOS 10.

La faille de sécurité dans iOS 10 est corrigée dans iOS 10.1 beta

Nous avons découvert qu'Apple a introduit un correctif dans iOS 10.1 beta 2 et 3 qui résout ce problème: en rétablissant la méthode de cryptage sur celle d'iOS 9. Dans la dernière version bêta d'iOS 10.1, Apple a corrigé cette faille de sécurité en supprimant mot de passe haché des sauvegardes cryptées iOS 10.1.

On peut soutenir qu'il existe d'autres méthodes de cryptage pour les scénarios dans lesquels une authentification est requise. Ainsi, la solution la plus simple et la plus rapide consistait essentiellement à restaurer le mécanisme de sécurité tel qu'il était avant l’introduction de la faille.

Quoi qu'il en soit, il est important de garder à l'esprit qu'une chose est importante: la force du cryptage dépend toujours de la force de votre mot de passe. Utilisez toujours des caractères aléatoires et des caractères non alphanumériques pour augmenter la force de votre mot de passe. Cracker un mot de passe en utilisant un hash de mot de passe est rendu beaucoup plus difficile si vous utilisez un mot de passe fort.

iPhone Backup Extractor fonctionne avec les dernières sauvegardes cryptées iTunes

Comme toujours, notre équipe a déjà exploré les modifications à apporter aux sauvegardes iTunes chiffrées et a mis à jour iPhone Backup Extractor pour qu'il soit compatible avec les dernières versions iOS.

Si vous utilisez déjà iPhone Backup Extractor et que vous effectuez une mise à jour vers iOS 10.1, veuillez mettre à niveau iPhone Backup Extractor pour continuer à récupérer les fichiers supprimés ou manquants à partir des sauvegardes iTunes effectuées avec la version iOS la plus récente. iPhone Backup Extractor continue également d'être compatible avec les anciennes versions d'iOS.

En tant qu'entreprise, la confidentialité et la sécurité des données sont notre ADN. IPhone Backup Extractor est conçu pour garantir la compatibilité avec toutes les mesures de sécurité supplémentaires mises à la disposition des utilisateurs Apple, garantissant que notre produit est utilisé par des utilisateurs légitimes d'iTunes et d'iCloud qui passent toutes les étapes d'authentification associées à l'accès à une sauvegarde, localement ou dans le cloud.