Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

iMessages d’Apple – Pas si sécurisé que ça…

Pensez-vous que le système de messagerie iMessages d’Apple est sécurisé ?

Si l’ont en croit le discours officiel d’Apple, les messages sont chiffrés et personne à part l’émetteur et le récepteur ne peut les voir ou les lire. Apple a effectivement confirmé qu’il ne pouvaient pas lire ces messages, ce qui a rassuré les clients de la pomme stressés de la NSA.

Mais le problème, c’est que c’est centralisé. Tous les messages transitent via les serveurs d’Apple, ce qui en théorie peut permettre à Apple de lire vos messages. D’après le français Cyril Cattiaux (Pod2G) chercheur pour QuarksLab qui a analysé le protocole utilisé par iMessages, Apple dispose de toutes les conditions pour mettre en place une attaque MITM (Man In The Middle) sur des échanges iMessages.

Les iMessages sont chiffrés avec la clé publique du destinataire qui est récupérée par l’application sur les serveurs d’Apple. Le tout est ensuite envoyé aux serveurs d’Apple. Ces derniers transmettent alors le message au destinataire. Seulement techniquement, rien n’empêcherait Apple, contrairement à ce qu’ils déclarent publiquement, de remplacer ces clés par des clés contrôlées par Apple (ou la NSA…) permettant ainsi un déchiffrement des messages.

Comme le système n’est pas du tout transparent, il est impossible de voir que la clé publique du destinataire a été modifiée. Les utilisateurs doivent donc avoir conscience que la sécurité de leurs iMessages repose uniquement sur la confiance qu’ils accordent à Apple. Avec un serveur public de clés, ce serait alors transparent et on pourrait avoir confiance.

messages_exchange

D’ailleurs, l’attaque MITM est peut être l’option la plus complexe sachant qu’il y a beaucoup plus facile pour Apple. Vous savez sans doute qu’il est possible d’associer plusieurs appareils Apple à 1 compte iMessages. Cela se traduit techniquement par la récupération de plusieurs clés publiques pour chiffrer le message et le mettre à dispo de tous les terminaux. Il suffirait à Apple d’ajouter une de ses clés à la liste des terminaux liés et paf, chaque message reçu par une personne aura été chiffré par sa/ses clés + la clé spéciale ajoutée d’Apple. Le tout en totale transparence pour l’utilisateur… Brrrr…

En conclusion, le chiffrement des iMessages protège des scripts kiddies, mais pas du tout de la NSA et autres agence gouvernementale contrairement à ce qu’à voulu faire croire Apple.

La question maintenant, c’est, l’ont-ils déjà fait ?

index

Ici c’est Apple qui est pris en exemple, mais tous les systèmes de messagerie instantanés qui fonctionnent sur le même modèle peuvent être poutrés de la même façon. La solution réside dans la décentralisation et surtout la transparence !

En attendant, histoire de rassurer tout le monde, les chercheurs de QuarksLab ont mis en ligne une application pour Mac OSX baptisée IMITMProtect qui permet de se protéger de ce genre d’attaque. Malheureusement, ce n’est pas dispo pour la version iOS d’iMessages car l’application ne stocke pas les clés sur le téléphone. Il est donc impossible de les comparer.


A la recherche d’un job dans le numérique et envie de changer de région et de vie ?

Est-ce que je fais vraiment le boulot que j’aime ? Ma qualité de vie dans cette grosse ville bruyante, polluée, chère … est-elle vraiment la meilleure ? Est-ce que ce village de campagne est le lieu le plus propice pour préparer mes enfants au futur ? Nous sommes nombreux à nous être posé ce genre de questions à un moment ou un autre, moi le premier.

Et bien si vous êtes dans cette situation, que vous avez envie de changer d’air sans pour autant changer de travail, Laou vous accompagne dans toutes les étapes de ce nouveau voyage, pour que vous ayez l’esprit serein jusqu’au moment d’envoyer votre premier mail pro 😉

Découvrir leur service et lancez-vous