il ne faut que 6 minutes pour cracker votre iPhone
Deux chercheurs de l’institut des technologies de Fraunhofer, Jens Heider et Matthias Boll viennent de démontrer que le blocage de l’iPhone par mot de passe n’offrait pas une sécurité en soi.
Le mot de passe de blocage sur un téléphone accessible, perdu ou volé n’est pas correctement sécurisé. La faille de sécurité est valable pour les derniers iPhone (ici 4) et iPad en circulation avec le dernier firmware (ici 4.2.1) et concerne la plate forme de stockage des mots de passe Apple (appelée Keychain)
Une attaque excessivement simple
L’attaque se fait, Smartphone éteint et bloqué, en accédant à iOS par une procédure de boot différente. iOS doit en effet accéder à la Keychain (Mac OS/ iOS, système de management des mots de passe), et c’est cette dernière qui est révélée.
Les chercheurs ont créé un script (sous Windows^^) qui va permettre:
- d’accéder aux fichiers système (avec un outil de Jailbreak)
- De copier le script d’accès au système (Keychain) – ici avec Cydia, un package open source permettant d’installer des applications.
- D’installer un tunnel SSH
- D’exécuter le script, qui révèle facilement les comptes et mots de passe.
Le fichier PDF de présentation des chercheurs.
Une technique silencieuse qui ne laisse pas de trace
Aucun fichier sur l’iphone n’est modifié, les mots de passe sont vus en clair, ce qui permet par exemple de cracker votre mot de passe et de vous rendre l’appareil, tout en ayant un accès ultérieur à celui-ci.
La plate forme de management des mots de passe étant touchée, le script permet de révéler, outre le mot de passe de votre Smartphone, ceux de vos comptes Gmail, du Wi-Fi, de votre éventuel VPN ou des accès LDAP. Les chercheurs indiquent que les mots de passe complémentaire (web) ou les accès à Voicmail ou Ichat ne sont pas (encore) affectés, mais qu’ils travaillent sur une technique secondaire pour y accéder.
Le script n’a pas été révélé en lui même, mais la technique (jailbreaking + découverte de la Keychain) est accessible à des programmeurs ayant « des connaissances modérées »... Beaucoup d’entreprises sont équipées d’iPhone, avec des accès emails ou directement aux serveurs internes. Elle devraient sans doute reconsidérer ce type d’équipement.
La longueur des mots de passe ne change rien
La donnée la plus importante est liée au fait que la longueur ou la complexité du mot de passe n’y change RIEN. En effet, la keychain étant attaquée, il n’est pas nécessaire de cracker le mot de passe par force brute et ceux ci sont visibles en clair lors de l’attaque.
Avant qu’Apple ne trouve une solution fiable à cette faille, la seule parade semble être de changer très régulièrement de mot de passe pour palier à des accès récurrents sur votre Smartphone, ou de ne JAMAIS se séparer de votre iPhone.
Note pour la terminologie: le terme « cracker » est ici volontairement abusivement employé. Aucune force brute n’est employée pour accéder aux mots de passe.
Partagez cette information avec les possesseurs d’iPhone 
Pour retweeter l’info: http://twitter.com/wecho_com/status/35665356949291008
Suivre @_diapo sur Twitter: http://twitter.com/_diapo
[UPDATE]
A priori le fait de changer le mot de passe SSH par défaut (Alpine) permet bien de palier à cette faille.
1/ Trouvez un tuto et Jailbreakez votre iPhone / iPad
2/ Installez Mobile Terminal
3/ Tapez « su » puis Alpine (le mot de passe par défaut)
4/ « Passwd » puis changer le pass.
5/ Faites joujou avec votre iPhone ou achetez un Android ^^
merci @marghost pour le test de confirmation
Reactive, notre agence etudie votre projet sous 24h et vous apporte une reponse et des solutions concretes.
En fait, si l’on ne quitte jamais son mot téléphone, alors changer régulièrement de mot de passe n’est pas indispensable. Mais il est vrai, on n’a jamais son téléphone à proximité immédiate en permanence. Oui, l’on répète à qui veut bien l’entendre qu’il faut changer son mot de passe régulièrement. Mais entre nous, qui, sérieusement, est capable de mémoriser des mots de passes réellement sécurisés
Car il faut idéalement aussi avoir des mots de passes aléatoires, d’au moins 8 caractères, incluant minuscules, majuscules, chiffres et signes de ponctuation. Déjà, en mémoriser un de la sorte devient difficile, alors plusieurs, le tout en les modifiant régulièrement, c’est mission impossible. Du coup, on les écrit sur un bout de papier, à savoir un truc totalement non sécurisé, contrairement à Keychain qui, lui, offre une sécurité suffisante envers les néophytes, et moindre pour ce qui est des hackers, heureusement les moins nombreux.
Ce qui m’intéresse maintenant davantage, ce n’est pas tant l’iPhone ou l’iPad, mais le Mac : la même défaillance concerne-t-elle le Mac
Car celui-ci est lui aussi protégé par le logiciel Keychain. Mais s’agit-il du même, ou d’une version plus sécurisée 
La technique touche à priori uniquement iOS / donc OS Mobile = iPhone, iPad et autres.
R0/\/\41mxm!2004
Pour les mots de passe, il y des approches mnémotechnique qui permettent de retenir des psswd très complexes et variés.
Comme il est bon de mélanger lettres, chiffres et caractères spéciaux, je recommande d’utiliser une phrase clef, de la transformer en leetspeak (changer les lettres par des chiffres) et d’y ajouter des caractères spéciaux + le nom du programme
Exemple:
Je prends le prénom d’un de mes enfants: romain, suivi du prénom d’un autre: maxime, suivi de l’année de naissance du troisième (et oui, j’en ai 3 mdr)
un mot de passe stupide serait romainmaxime2004
ici je transforme en leetspeak (partiel) le premier, et sans les voyelles le second suivi d’un
et je rajoute le nom du site ou je me suis loggué
R0/\/\41mxm!2004w3ch0 (diapo)
R0/\/\41mxm!2004gm4il (gmail)
R0/\/\41mxm!2004tw!t3r (Twitter)
J’ai un mot de passe de taille variable, différent pour chaque site, difficile à cracker en force brute, facile à retenir car il comprend une partie fixe. C’est juste une question de pratique.
Ha zut, je n’ai plus qu’à changer mes mots de passe maintenant lol
Nous sommes d’accord, il existe des moyens mnémotechniques pour donner un aspect aléatoire aux mots de passes. Mais cela n’est plus un mot de passe aléatoire. En aléatoire, tu as autant de chances de trouver un « x », un « y », un « z » et un « k » qu’un « a », « e », « m » ou « n ». En français, avec l’aide de statistiques, tu élimines d’emblée des milliards de milliards de combinaisons inutiles. Aussi, pour atteindre la complexité d’un mot de passe aléatoire de 8 caractères, tu te dois de le rallonger largement. Et donc tu te retrouves avec la même problématique de mémorisation. La plupart des gens s’en contentent, la facilité au détriment de la sécurité.
Car la méthode que tu décris — et celle que je recommande aussi à mes proches — est connue. Elle est tellement connue que les logiciels de cassage de mots de passes l’appliquent avec zèle, dont le fameux John the Ripper, parmi les plus connus. Eh oui, ces logiciels exploitent divers dictionnaires de mots et de mots de passes dans diverses langues, combinent les mots, les transforment en leet, les écrivent à l’envers, mélangent minuscules et majuscules, utilisent la disposition des divers claviers, etc. Car ces méthodes donnent plus rapidement des résultats que le hasard pur et simple, tout simplement, car le hasard a cela de difficile à mémoriser, pour un être humain, qu’il implique l’absence de toute déduction ou logique. [diapo]attention, je n’ai jamais dit que cela rendait le crackage impossible hein, juste plus lent. On sait tous qu’un pass peut être cracké en quelques minutes avec le cloud Amazon
[/]
Et il faudrait que je mette à jour téléphone, ordinateur de bureau, ordinateur portable, baladeur et j’en passe 
C’est tout simplement impossible. Cela m’est impossible à moi, en tous les cas, et des logiciels tels que Keychain me permettent de conserver ces mots de passes d’une manière relativement sécurisée, même si celle-ci implique d’autres défauts (car même sur mon Mac, si je me le fais voler, mes mots de passes pourront être exploités par un tiers, notamment ceux pouvant être exportés depuis les logiciels qui ne supportent pas Keychain, dont Firefox et FileZilla).
Mais peu importe la méthode. Je me vois mal, personnellement, modifier régulièrement la centaine de mots de passes que j’utilise chaque mois (eh oui… rien que pour gérer mes finances en ligne, je dispose d’une demi-douzaine de mots de passes au moins), dont une demi-douzaine à une douzaine au quotidien (comptes mail, messageries instantanées, etc.). Je veux dire : peut-on réellement mémoriser 100 mots de passes pour 1 mois, puis les changer dès le mois suivant, sans rien inscrire, que cela soit dans un logiciel ou un carnet
Bref, je ne vois pas en quoi cette faille de l’iOS peut avoir de critique pour les entreprises, dont la gestion des mots de passes se heurte à un problème autrement plus important et difficile à gérer : l’utilisateur (et sa manie de mettre le même mot de passe partout et de l’écrire sur un Post-it collé à son écran).
[diapo]Justement, parce que là il s’agit d’un appareil vendu à des millions d’exemplaires, très présent en entreprise et sur lequel on peut dévoiler facilement des mots de passe interne (LDAP, GMAIL etc.)[/]
A noter aussi que la longueur est plus importante que la diversité.
Si ton mot de passe est « Je suis une fan, Apple r0xe ! » il n’est pas simple à trouver mais simple à retenir.
Ceci dit, à taper sur les écrans tactiles, c’est une plaie.