Casser la crypto d'un outil de messagerie chiffré, ça demande pas mal de connaissances, de boulot et de puissance machine.

Ce n'est pas donné à tout le monde et si même la NSA galère, c'est peut-être pas forcement toujours le bon angle d'attaque.

Prenons par exemple Messages de OSX (connu aussi sous le petit nom de iMessage) qui permet d'envoyer des messages (chiffrés) vers les Macs, iPhone, iPad et iPod de vos amis. Il y a quelque temps, les chercheurs en sécurité Joe DeMesy, Shubham Shah, et Matthew Bryant ont découvert un bug au niveau de la couche applicative de Messages, qui permettait de récupérer tous les messages et fichiers contenus dans le Messages de la victime.

Pas besoin de casser le chiffrement donc, il suffisait d'envoyer une URI JavaScript (javascript://) rendue cliquable grâce au comportement de WebKit utilisé par cette application et contenant le code permettant d'accéder au DOM de l'application et à l'attaquant de lire ensuite les fichiers de son choix grâce à des requêtes XMLHttpRequest (XHR).

Il suffit d'un seul clic de la part de la victime et l'attaquant peut alors récupérer et envoyer sur un serveur distant, l'intégralité de l'historique de toutes ses conversations et les pièces jointes associées. Un seul clic, même maladroit, et c'est parti !

Gloups !

Voici une démo en vidéo :

Heureusement, grâce aux principes de responsible disclosure, Apple informé de la faille a pu corriger rapidement le problème en mars de cette année.

Cette démonstration que vous pouvez retrouver en détail ici permet de se rendre compte de 2 choses :

  • Cliquer sur un lien, ça peut faire des dégâts sans sommation.
  • Et même avec le meilleur chiffrement du monde, une application peut laisser fuiter de la donnée en clair. Il suffit tout simplement d'y trouver une faille exploitable.

Soyez donc sûr des outils que vous utilisez, reposez-vous sur des outils open sources qui sont testés par la communauté, et gardez à l'esprit que tout ce que vous pourrez écrire pourra un jour échapper à votre contrôle.

Inateck 3 ports Hub USB 3.0 avec Boîtier externe Disque Dur 2.5 USB 3.0

19,99 € soit 66% de réduction

Pour combiner avec ce routeur ... checker les offres sur les périphériques de stockage pour faire du partage de données

2 en 1 ce boîtier est conçu pour disque dur 2.5 HDD/ SSD SATA (I, II ou III) d'épaisseur inférieur de 9,5 mm, avec 3 ports USB 3.0, il supporte un disque dur jusqu'à la capacité de 3 To, son taux de transfert peut aller jusqu'à 5Gbps, UASP compatible

Aspect délicat et simple, interrumpteur d'alimentation pour HDD/SSD, câble DC pour une alimentation sécurisée, indicateur LED marche/arrêtInstallation et démontage du disque dur facile, aucun pilote nécessaire, design simple, aucune vis, mousse interne, protège le disque dur de manière efficace. Contenu de l'emballage: 1× Boîtier FE2007, 1× Câble de données USB3.0, 1× Câble USB-DC, 1× Mode d'emploi

En Savoir +