GrayKey permettrait de déverrouiller n'importe quel iPhone. Mythe ou réalité ? Peut-on se protéger ?

Le déverrouillage des iPhone par des tiers est un enjeu de sécurité important : le smartphone d’Apple est réputé pour être l’un des plus sécurisés au monde, mais le fait qu’il soit massivement utilisé amène des tas d’entreprises de cybersécurité à concentrer leurs efforts sur ce produit. À la manière de Windows qui, en situation dominante, est devenu la cible favorite des créateurs de virus et autres chevaux de Troie, l’iPhone est l’ennemi à abattre. Et si la firme Cellebrite se vante souvent de ses avancées en matière de déverrouillage, c’est aujourd’hui le concurrent Grayshift qui est sous les projecteurs.

Le boîtier qui déverrouille les iPhone

Les experts en sécurité Malwarebytes se sont en effet procuré un petit boîtier qui commence à faire parler de lui : le GrayKey. Son nom complet, « GrayKey iPhone unlocker » annonce la couleur. L’appareil ressemble à une box qu’on mettrait sous une télé mais n’a pas vraiment la même utilité : un utilisateur peut connecter jusqu’à deux iPhone sur des câbles Lightning tout ce qu’il y a de plus conventionnel.

Après cela, le boîtier GrayKey s’occupe a priori de tout. Il suffit de le laisser tourner jusqu’à ce que l’écran de l’iPhone affiche le code de déverrouillage — cela peut prendre de 2 minutes à plusieurs jours selon la complexité du code à 6 chiffres. Grayshift ne mentionne pas le temps qu’il prendrait pour déverrouiller un iPhone avec une phrase de passe. Une fois déverrouillé, le contenu est téléchargé dans le boîtier GrayKey et est accessible via une interface web. Malwarebyte a pu prendre une capture d’écran d’un iPhone X tournant sous iOS 11.2.5 qui a été déverrouillé.

Côté coût, Grayshift ne fait pas dans le cheap. La première option disponible pour un utilisateur est de payer 15 000 dollars pour une utilisation unique. Le boîtier est géolocalisé et ne pourra pas être déplacé, ni utilisé sur un autre réseau internet que celui qui a été configuré pour l’installation. La deuxième option, à 30 000 dollars, ne demande pas de connexion à Internet et n’a pas de limite d’utilisation. Il demandera en revanche fréquemment une authentification à deux facteurs fournie par Grayshift pour s’assurer qu’il ne tombe pas entre d’autres mains que celles de leurs clients.

On imagine qu’à ce prix-là, Grayshift a des clients institutionnels ou gouvernementaux. L’entreprise ne dit pas si elle traite également avec des particuliers ou des organisations criminelles.

Côté technique, Grayshift emploie a priori une méthode de force brute qui lui permet tout de même de passer outre les protections d’iOS contre ce type d’attaque. Un ingénieur en sécurité d’Apple a quitté Cupertino pour prendre la tête de la division technique de la firme, ce qui pourrait laisser croire que sa compréhension du système est plus avancée que la moyenne. Dès lors, tant que Apple n’identifie pas les failles exploitées par la boîte GrayKey, il n’y a pas de possibilité de restreindre son usage. D’après Malwarebytes, ne pas savoir ce qui se passe dans le smartphone présente aussi un problème pour l’utilisateur qui pourrait finir par le récupérer : on ne sait pas dans quel état il a été restitué, si un mouchard a pu être installé ou si l’installation d’iOS est corrompue.

Pour le moment, on peut donc estimer que les forces de l’ordre ont un coup d’avance par rapport à Apple, grâce à Grayshift. Cela dit, ce serait bien naïf de croire que Cupertino n’est pas déjà en train d’enquêter pour colmater les failles.

Comment se protéger ?

L’indice donné par Grayshift et Malwarebytes sur la durée de déverrouillage qui dépend de la complexité du code peut nous aiguiller. Il pourrait en effet s’agir d’une technologie qui enlève la restriction liée au nombre de tentatives pour tester un code et applique ensuite bêtement une attaque par force brute, en essayant de très nombreuses combinaisons par seconde.

Cette technique est efficace contre des codes simples (exemple : 4 ou 6 chiffres) mais devient difficile à appliquer sur des phrases de passe. Sans être tout à fait sûrs de ce qu’il se passe à l’intérieur d’une boîte GrayKey, on peut imaginer qu’elle peine à craquer un mot de passe long et absurde — jusqu’à ce que le jeu n’en vaille pas la chandelle, le temps de déverrouillage devenant trop long pour être utile.

Ainsi, verrouiller son iPhone avec une phrase de passe intelligemment choisie pourrait être un premier pas vers une sécurité avancée et une protection contre cette technique..

Partager sur les réseaux sociaux