iOS Security : Une conférence lors du BlackHat de Las Vegas revient sur la sécurité des produits Apple. Une « diapo » semble donner un « truc » sur la récupération de son mot de passe perdu.

Il y a quelques semaines je vous racontais l’ambiance morose entre le FBI et APPLE. L’autorité fédérale américaine chercher, expliquait-elle, à mettre la main sur le contenu de téléphones portables iPhone de terroristes et autres trafiquants de drogue. Une ambiance judiciaire qui s’est conclue avec de nombreux secrets et rebondissements, comme le fait que le FBI ne souhaitait pas expliquer une de ses méthodes de hack de smartphone.

Lors du Black Hat de Las Vegas, grande messe américaine dédiée à la sécurité informatique, Ivan Krstic, ingénieur sécurité chez Apple, a proposé une conférence baptisée « Dans les coulisses de la sécurité d’iOS » [Behind the Scenes with iOS Security]. Une « diapo« , page 44 de son exposé, attire l’oeil : « In case of device loss or new device, user can recover secrets with their iCloud password and the iCSC« . Quoi ? Récupérer son mot de passe serait aussi simple selon Ivan Krstic. C’est moi ou il explique comment BruteForcer les 6 chiffres de la protection d’un iPhone ?

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Des pirates Chinois perturbent des aéroports vietnamiens

2 Comments

Seb C 10/08/2016 at 14:13 Reply

Bah c’est toi, Damien.. C’est aussi simple que de lire 5 mn la diapo : le ICsC, c’est le passcode (le code à 6 chiffres du device – « commonly device passcode »).
Et « normalement », tu bruteforces pas iCloud, parce qu’ils limitent le nombre d’essais (« normalement », parce que, ça s’est vu, tous les accès n’ont pas toujours été soumis à la règle de la limitation du nombre d’essai)…
Et là, il parle de récupérer les secrets stockés dans le téléphone (le trousseau de clé iCloud, les éventuels certificats, les CB -Apple Pay- etc etc), pas le passcode du téléphone…
- Damien Bancal 12/08/2016 at 10:46 Reply
  
  Merci de répondre à mon interrogation. Vous avez la chance de tout savoir, pas moi, d’ou l’interrogation et l’envie de partager. Dommage que vous vous sentiez obligé un début désobligeant dans votre réponse. Si j’en parle et me questionne, c’est qu’à premiére vue, j’ai passé plus de 5 mns à lire le document.