L\u2019actualit\u00e9 de ces derni\u00e8res semaines a \u00e9t\u00e9 marqu\u00e9e par les d\u00e9clarations de Google et d\u2019Apple concernant les donn\u00e9es de leurs utilisateurs. En effet, ils ont \u00a0indiqu\u00e9 qu\u2019avec la derni\u00e8re version des syst\u00e8mes d\u2019exploitation iOS ou Android, les donn\u00e9es stock\u00e9es seraient chiffr\u00e9es de telle forme que m\u00eame l\u2019entreprise n\u2019aurait pas la possibilit\u00e9 de les d\u00e9crypter.<\/p>\n
Crypto par d\u00e9faut<\/strong><\/p>\n Ces d\u00e9clarations sont loin de faire plaisir aux autorit\u00e9s, qui m\u00eame avec un mandat, ne pourront plus avoir acc\u00e8s aux donn\u00e9es stock\u00e9es sur le r\u00e9seau local. Ils ont donc envoy\u00e9 des officiers pour tenter, de mani\u00e8re pas tr\u00e8s discr\u00e8te, de faire peur aux gens, s\u00fbrement en leur racontant des histoires de p\u00e9dophiles ou de terroristes afin de les convaincre que le chiffrement c\u2019est mal voire m\u00eame dangereux<\/a>.<\/p>\n Pendant ce temps, les d\u00e9fenseurs de l\u2019intimit\u00e9 et de la s\u00e9curit\u00e9 expliquent le fonctionnement du nouveau chiffrement de disque<\/a>, qui semble r\u00e9ellement prot\u00e9ger les donn\u00e9es des utilisateurs.<\/p>\n Certains\u00a0 pourront consid\u00e9rer ces avanc\u00e9es comme imprudentes,\u00a0tandis que d\u2019autres y verront une r\u00e9action logique \u00e0 un environnement o\u00f9 il est devenu presque trop facile pour le gouvernement de collecter des informations sans aucun contr\u00f4le.<\/p>\n Les derni\u00e8res versions de #Google #Android, et d\u2019 #Apple #iOS, #chiffreront int\u00e9gralement et automatiquement vos donn\u00e9es<\/p>Tweet<\/a><\/blockquote>\n Un peu plus t\u00f4t ce mois-ci, un article avait d\u00e9j\u00e0 \u00e9t\u00e9 publi\u00e9 concernant le nouveau syst\u00e8me de chiffrement par d\u00e9faut d\u2019Apple. Vous y retrouverez une approche plus l\u00e9gale du sujet. D\u00e9sormais il est temps de passer \u00e0 l\u2019approche technique de ce chiffrement par d\u00e9faut, que Google propose dans sa nouvelle version Android Lollipop, aussi connue sous le nom d'\u00a0\u00bbAndroid 5.0\u2033 ou \u00ab\u00a0Android L\u00a0\u00bb (L est \u00e0 la fois 50 en chiffre romain et la premi\u00e8re lettre du mot \u00ab\u00a0Lollipop\u00a0\u00bb).<\/p>\n Historique du chiffrement sur Android <\/strong><\/p>\n Selon Nikolay Elenkov d\u2019Android Explorations<\/a>, les utilisateurs d\u2019Android \u00a0pouvaient d\u00e9j\u00e0 opter pour le chiffrement int\u00e9gral de leurs donn\u00e9es (FDE) lors de la sortie d\u2019Android 3.0, aussi connu sous le nom d\u2019Honeycomb. La possibilit\u00e9 de chiffrement total sous Android est rest\u00e9e inchang\u00e9e jusqu\u2019\u00e0 ce qu\u2019elle soit renforc\u00e9e avec la sortie du nouveau Android 4.4. Ils renforceront encore plus leur syst\u00e8me de chiffrement sous Android L, mais, plus important encore, ils sont aussi en train d\u2019activer pour la premi\u00e8re fois, le chiffrement par d\u00e9faut sur Android 5.0.<\/p>\n Le sch\u00e9ma de chiffrement initialement d\u00e9ploy\u00e9 par Google sous Android \u00e9tait apparemment assez s\u00e9curis\u00e9. Cependant, et comme dans la plupart des cas<\/a>, c\u2019est lors de l\u2019ex\u00e9cution d\u2019un programme que\u00a0 les vuln\u00e9rabilit\u00e9s apparaissent. La s\u00e9curit\u00e9 de ce type de chiffrement d\u00e9pend presque enti\u00e8rement de la complexit\u00e9 de la phrase secr\u00e8te du chiffrement et de la probabilit\u00e9 qu\u2019il subisse une attaque de force majeure.<\/p>\n http:\/\/instagram.com\/p\/ptPZ2dv0Fj\/<\/p>\n \u00ab\u00a0S\u2019il est assez long et complexe, alors forcer la phrase secr\u00e8te de chiffrement peut prendre des ann\u00e9es\u00a0\u00bb, explique Elenkov. \u00ab\u00a0Cependant, \u00e9tant donn\u00e9 qu\u2019Android a choisi de r\u00e9utiliser le syst\u00e8me d\u2019authentification ou le mot de passe (longueur maximale de 16 caract\u00e8res), dans la pratique, la plupart des gens ont d\u2019avantage de chances de choisir avec un mot de passe relativement court ou trop simple.\u00a0\u00bb<\/p>\n En d\u2019autres termes : la complexit\u00e9 du chiffrement sous Android est aussi importante (ou faible) que votre syst\u00e8me d\u2019authentification. Et dans la plupart des cas, c\u2019est la paresse qui poussent les gens \u00e0 choisir des mots de passe<\/a> courts.<\/p>\n Un m\u00e9canisme de rate limiting int\u00e9gr\u00e9 emp\u00eache les attaques de force majeure car le nombre de tentatives pour deviner le mot de passe est limit\u00e9<\/a>. Evidemment, Elenkov a r\u00e9ussi \u00e0 contourner cette barri\u00e8re. Si vous voulez entrer dans les d\u00e9tails sur comment il a r\u00e9ussi cela, vous pouvez consulter son analyse, mais on n\u2019est pas ici pour parler de cela. Le fait est qu\u2019il existe bien un moyen de forcer les mots de passe simples et qu\u2019\u00e0 partir de l\u00e0 vous pouvez d\u00e9chiffrer les donn\u00e9es enregistr\u00e9es sur un appareil Android.<\/p>\n De plus, cet exploit sera bien plus difficile \u00e0 r\u00e9aliser avec un mot de passe complexe. Mais si vous avez un mot de passe de 4 \u00e0 6 caract\u00e8res, en quelques secondes seulement vos donn\u00e9es pourront \u00eatre d\u00e9crypt\u00e9es.<\/p>\n Hashkill now cracks Android FDE images master password. Speed is ~135k on 6870, ~270k\/s on 7970. Android FDE is weak. pic.twitter.com\/mhcvEuEP48<\/a><\/p>\n