Le cryptage des sauvegardes Blackberry compromis
Une société russe spécialisée dans les outils de sécurité a annoncé avoir réussi à casser la protection par mot de passe utilisé pour sécuriser les sauvegardes de données des smartphones BlackBerry.
PublicitéSelon Elcomsoft, une faille a été découverte dans le programme de backup sur PC et Mac (BlackBerry Desktop Software) sécurisé, avec un cryptage en 256-bit AES. Il est ainsi possible de réaliser une attaque en récupérant le mot de passe et d'accèder aux archives de sauvegarde avec une relative facilité. La notion de «relative» signifie dans ce contexte, casser un mot de passe de 7 caractères composé de lettres minuscules avec deux en capitales, en une demi-heure avec un processeur Intel Core i7. Des variations plus complexes de ce mot de passe de base pourraient être cassées en trois jours en utilisant le même matériel. La société russe prétend que l'utilisation de GPU tel que la carte ATI Radeon HD5970 réduirait considérablement ce temps de recherche.
« En bref, la fonction de dérivation de clé standard, PBKDF2 [mot de passe basé sur cette fonction], est utilisée d'une manière très étrange. Lorsque Apple utilise 2000 itérations dans iOS 3.x, et 10.000 itérations dans l'iOS 4.x, BlackBerry en utilise une seule », dit Vladimir Katalov d'Elcomsoft sur son blog. Il ajoute également que le BlackBerry Dekstop Software crypte les données à partir du PC ou du Mac, mais pas depuis le smartphone lui-même. En conséquence, certaines données sont échangées sans protection.
Si ces archives de sauvegarde varient d'un utilisateur à un autre, elles revêtent un caractère important professionnel, qui conserve beaucoup d'éléments confidentiels, comme les contacts, les email, et les paramètres de mot de passe pour la messagerie ou l'accès WiFi. Pour arriver à cette fin, il faudra se munir en plus du logiciel de la société russe, baptisé Elcomsoft Phone Password Breaker. Ce dernier coûte 199 euros pour la version professionnelle et 79 pour les particuliers. La société affirme que ce logiciel sert aussi pour les sauvegardes sur iPhone et iPod Touch.
Elcomsoft dispose d'une réputation controversée en ayant trouvé il y a quelques mois la façon de casser le protocole de sécurité des réseaux sans fil, WPA. Coïncidence, ce dernier a été mis à jour la semaine dernière.
Article rédigé par
Jacques Cheminat avec IDG NS
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire