Le cryptage natif d’Android est moins sécurisé que celui d’iOS

L’architecture cryptographique d’Android serait nettement moins sécurisée que celle d’iOS selon un test réalisé par chercheur en sécurité informatique.

Pour répondre aux inquiétudes de leurs utilisateurs au sujet des intrusions des autorités dans leur vie privée, Apple et Google ont ajouté une architecture cryptographique à leur système d’exploitation mobile, que cela soit dans iOS ou dans Android. Est-ce que ce chiffrement est véritablement efficace ?

Les déboires du FBI face à Apple démontrent clairement que le système mis en place par la firme de Cupertino est efficace même s’il a finalement pu être cassé. Pour assurer un chiffrement béton, la marque à la pomme utilise une clé dérivée du code PIN de l’utilisateur et une clé matérielle propre à l’iPhone, son fameux UID. Comparativement, qu’en est-il d’Android ?

Le chercheur en sécurité Gal Beniamini s’est penché sur la question, plus particulièrement sur les smartphones Android équipés d’un chipset Qualcomm, l’un des plus répandus. Son analyse révèle que l’architecture cryptographique mise en place par Google est nettement moins sûre que celle d’Apple.

Concrètement, la clé utilisée pour le chiffrement est dérivée du code PIN de l’utilisateur et d’une clé-maître logicielle. Cette dernière est stockée dans une zone de mémoire spécifique appelée TrustZone. Le problème est qu’il suffirait qu’un pirate découvre une faille dans cette TrustZone pour compromettre toute la sécurité apportée par ce cryptage.

Des failles qui compromettent le chiffrement d’Android

C’est justement ce que Gal Beniamini a fait. En s’appuyant sur deux failles récentes concernant la TrustZone, il a réussi à extraire la clé-maître. Il a ensuite créé un script en Python pour mener une attaque par force brute avec succès contre son propre Nexus 6. Les deux vulnérabilités en question ont d’ores et déjà été colmatées par Google.

Le problème de la sécurité d’Android repose également sur la fragmentation. En effet, même si Google a colmaté les failles concernant la TrustZone d’Android, la réalité du marché est qu’il reste de très nombreux smartphones qui n’ont pas encore été patchés. De fait, la société Duo Security estime que 37 % des téléphones Android sont toujours vulnérables à cette attaque, ce qui signifie que les échanges de plus d’un tiers des appareils ne sont pas garantis par le chiffrement mis en place.

Une solution de contournement à ce problème serait l’utilisation d’un long mot de passe en lieu et place d’un code PIN, une possibilité qui ne serait véritablement envisageable qu’en corrélation avec un lecteur d’empreintes digitales. Le hic est qu’être obligé d’entrer un long mot de passe à chaque déverrouillage n’est humainement pas supportable.

Source : bits-please.blogspot.fr
Source : Ars Technica.com

Votes
[Total : 0 votes en moyenne : 0]
PARTAGER
Article précédentLes vieux sont de plus en plus séduits par Snapchat
Article suivant18 châteaux de la Loire virtuellement visitables depuis Google Maps
Après mes études de journalisme, me retrouver à écrire sur des faits divers sans importance m'a déprimé. Lorsqu'un ami m'a emmené me changer les idées au salon Connect It de Paris, cela m'a fait tilt ! Découvrir les technologies d'aujourd'hui que tout le monde pourra utiliser demain… m'a donné une nouvelle inspiration. Par les amis de mes amis qui son mon avis, on m'a filament proposé d'écrire des articles sur le high-tech. Dire ce qui m'intéresse le plus ? Difficile à dire. Cela va si vite, les possibilités sont si énormes. Une chose est en tout cas sûre : cela me passionne !

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here