La nouvelle fonction de sécurité d’Apple redémarre automatiquement les iPhone non déverrouillés pendant 72 heures
(techcrunch.com)- Le nouveau logiciel de l’iPhone d’Apple redémarre automatiquement l’appareil s’il n’a pas été déverrouillé pendant 72 heures, ce qui rend l’accès aux données plus difficile en cas de saisie ou de perte prolongée
- La minuterie de 72 heures de l’inactivity reboot d’iOS 18 a été confirmée par une vidéo de démonstration de Jiska Classen et par Magnet Forensics
- Après le redémarrage, l’iPhone passe dans un état plus sûr où les clés de chiffrement sont verrouillées dans la Secure Enclave, ce qui le rend plus difficile à déverrouiller avec des outils d’investigation peu coûteux ou anciens
- L’accessibilité forensique varie selon les états BFU (Before First Unlock) et AFU (After First Unlock) ; le redémarrage ramène l’appareil d’un état « hot » à un état « cold », plus difficile
- Cette fonction ralentit l’accès des voleurs et de certains outils forensiques, mais Classen estime qu’elle ne bloque pas totalement les forces de l’ordre, et que trois jours restent suffisants pour coordonner des procédures avec des analystes spécialisés
Redémarrage automatique après 72 heures d’inactivité
- Le nouveau logiciel de l’iPhone inclut une fonction de sécurité qui redémarre l’appareil de lui-même s’il n’a pas été déverrouillé pendant 72 heures
- 404 Media rapporte que certains iPhone ont redémarré pour des raisons inconnues, compliquant l’accès aux appareils et l’extraction des données pour les forces de l’ordre et les experts forensiques
- Des chercheurs en sécurité ont ensuite confirmé qu’iOS 18 intègre un inactivity reboot qui force le redémarrage de l’appareil
- Jiska Classen, chercheuse au Hasso Plattner Institute, a publié une vidéo de démonstration montrant cette fonction : on y voit un iPhone laissé sans déverrouillage redémarrer après 72 heures
- Magnet Forensics, qui propose des produits de forensique numérique, dont Graykey, un outil d’extraction de données pour iPhone et Android, a également confirmé que la minuterie est de 72 heures
BFU et AFU déterminent la difficulté de l’analyse forensique
- L’inactivity reboot fait passer l’iPhone dans un état plus sécurisé en verrouillant les clés de chiffrement de l’utilisateur dans la puce Secure Enclave
- Classen estime que, même si un voleur laisse longtemps un iPhone allumé, il devient plus difficile de le déverrouiller avec des outils forensiques bon marché et anciens
- Le travail des forces de l’ordre qui cherchent à récupérer des données sur les appareils de criminels devient aussi plus complexe, mais cette seule fonction ne bloque pas complètement l’accès
- Selon elle, 3 jours restent un délai suffisant pour coordonner les procédures avec des analystes spécialisés
- L’iPhone possède deux états qui influent sur les tentatives visant à trouver un mot de passe par force brute ou à extraire des données en exploitant des failles logicielles
- BFU (Before First Unlock) : les données utilisateur sont entièrement chiffrées et l’accès est quasiment impossible sans connaître le mot de passe
- AFU (After First Unlock) : certaines données sont déchiffrées, ce qui peut faciliter leur extraction par certains outils forensiques même si le téléphone est verrouillé
- Le chercheur en sécurité iPhone Tihmstar désigne aussi ces deux états comme des appareils cold et hot
- De nombreuses sociétés de forensique se concentrent sur les appareils « hot » en état AFU, après que l’utilisateur a saisi une fois le bon mot de passe
- La raison est que les informations liées au mot de passe sont alors stockées dans la mémoire de la Secure Enclave de l’iPhone
- Un appareil « cold » redémarré est beaucoup plus difficile à compromettre, car sa mémoire ne peut pas être extraite facilement
- Depuis des années, Apple ajoute de nouvelles fonctions de sécurité auxquelles les forces de l’ordre s’opposent, ces dernières critiquant le fait qu’elles rendent leur travail plus difficile
- En 2016, le FBI a intenté une action en justice pour contraindre Apple à créer une porte dérobée permettant d’ouvrir l’iPhone d’un auteur de fusillade de masse ; par la suite, la startup australienne Azimuth Security a aidé le FBI à pirater cet iPhone
- Apple n’a pas répondu à une demande de commentaire
1 commentaires
Avis sur Hacker News
Les terminaux de paiement doivent redémarrer périodiquement à cause des exigences PCI, et presque tous les terminaux de point de vente du marché redémarrent toutes les 24 heures
Ce serait bien de pouvoir réduire ce délai. Si le téléphone n’a pas été déverrouillé pendant une journée entière, c’est qu’il se passe quelque chose d’anormal, et il faut une suspicion de sécurité supplémentaire
En fait, je regardais au mauvais endroit : c’est proposé comme option de l’action « Shut Down »
Cette « nouvelle » fonction est déjà prise en charge par GrapheneOS, avec une valeur par défaut de 18 heures, réglable comme on veut. Il n’y a pas de bonne raison d’imposer 72 heures à tout le monde ; c’est un choix de conception hostile aux utilisateurs
L’écosystème du hacking a toujours apporté les fonctions les plus cool aux téléphones, mais les fabricants ont rendu l’accès à ces fonctions de plus en plus difficile
J’ai lu que beaucoup de nouveaux exploits dans le mobile ne résident qu’en mémoire et sont donc bloqués par un simple redémarrage, y compris, semble-t-il, le tristement célèbre spyware Pegasus
En même temps, c’est une mise à jour discrète qui ne sera pas très visible en dehors de la communauté tech, donc de petits criminels pourraient ne pas s’y préparer correctement. Si c’était vraiment une conception hostile aux utilisateurs, elle n’aurait tout simplement pas été implémentée
La façon typique d’Apple est de choisir un défaut raisonnable et de ne pas embêter l’utilisateur ; parfois c’est bien, parfois non
Si c’est vrai, en faire une option configurable serait une amélioration mineure. 72 heures devraient rester la valeur par défaut, mais les personnes ayant des exigences de sécurité plus élevées devraient pouvoir descendre à 12 heures, voire moins
Cette fonction semble casser le transfert de SMS entre iDevice. Je l’ai appris à mes dépens lorsque certaines notifications de livraison de colis n’arrivaient pas tant que je n’avais pas déverrouillé mon iPhone secondaire et ouvert l’app Messages
Je comprends qu’un téléphone verrouillé doive déjà avoir tout chargé en mémoire. Mais je me demande quel obstacle technique empêche Apple de rendre l’état verrouillé aussi sûr que l’état juste après un redémarrage
404Media semble avoir été le premier à confirmer cela. Peut-être pas. L’article est réservé aux abonnés et je n’ai pas trouvé de lien d’archive permettant de lire l’intégralité, mais c’est un média qui fait du bon travail et mérite d’être soutenu
https://www.404media.co/apple-quietly-introduced-iphone-rebo...
Le redémarrage automatique existe sur les téléphones Samsung depuis Android 5 Lollipop, il y a 10 ans. Heureux de voir que le progrès technique finit par arriver jusqu’à Apple
L’état BFU d’Android, c’est-à-dire avant le premier déverrouillage, est assez similaire à celui de l’iPhone : les données restent verrouillées, les notifications n’arrivent pas et les apps ne s’exécutent pas. Il faut d’abord déverrouiller le téléphone pour que les apps se lancent, que les notifications arrivent et que l’état devienne plus vulnérable pour un attaquant
J’utilise à la fois iPhone et Android, et mon Android actuel est un modèle récent, le Z Fold 5. Le Fold 5 redémarre automatiquement chaque semaine, mais après le redémarrage les apps habituelles en arrière-plan se relancent et les notifications fonctionnent normalement
Cela signifie qu’Android, ou plus précisément OneUI, la surcouche de Samsung au-dessus d’Android, ne fait pas un redémarrage « complet » et n’offre pas l’avantage de sécurité consistant à laisser le téléphone en état BFU ou froid, comme le fait Apple
Je me demande pourquoi on ne sépare pas carrément physiquement la mémoire des instructions de programme et la mémoire des données. Je sais qu’il existe des approximations similaires au niveau des pages, mais je ne vois pas pourquoi on laisserait le noyau modifier sa propre mémoire dès le départ
Un dispositif mémoire qui ne chargerait que des pages signées, par exemple, devrait être possible
Il faut garder à l’esprit que le JIT est une technologie très utile et que le coût de sa perte serait assez élevé ; en outre, les interpréteurs traitent toujours la mémoire de données comme de la mémoire d’instructions de programme, ce qui limite les bénéfices de cette séparation
Question : l’écran de redémarrage d’Apple affiche-t-il vraiment les logs dmesg ?