Le chiffrement sur Android facilement craqué grâce à deux failles
Le chiffrement est un débat assez houleux, on l'a encore vu récemment avec les iPhone des terroristes aux États-Unis que la firme à la pomme refusait de cracker. Et sur Android ce chiffrement est aussi disponible depuis un moment, mais il semble bien moins sécurisé, explications.
L'affaire de l'iPhone 5C de San Bernardino a prouvé l'efficacité du chiffrement d'iOS même si ce dernier a fini par céder. Sur iPhone la clé de chiffrement est basée sur le code PIN de l'utilisateur plus une clé matérielle. Il est donc très difficile de la craquer. Seul moyen l'attaque par force brute, mais cela pose beaucoup de problèmes surtout si l'utilisateur a mis comme sécurité qu’au bout de X tentatives toutes les données sont effacées.
Mais alors comment cela se passe sur Android ? C'est Gal Beniamini, dont on vous a déjà parlé, qui est allé fouiller dans tout ça et plus précisément dans les terminaux équipé d'un processeur Qualcomm, ce sont les processeurs les plus répandus.
Il s'est rendu compte que le chiffrement n'était pas tout à fait pareil. Si le postulat de base est le même c'est à dire utiliser un dérivé du code PIN, la clé de chiffrement est une clé-maître logicielle, stockée dans la mémoire du smartphone dans la TrustZone.
Il a suffi au chercheur en sécurité de s'appuyer sur deux failles de la TrustZone pour y pénétrer et récupérer la clé. Il a ensuite créé un script python pour une attaque par force brute, l'opération fut un succès sur son propre Nexus 6.
- À lire aussi : Faut-il vraiment chiffrer sa carte microSD ?
Heureusement ces deux failles ont depuis été patchées grâce à la mise en place des mises à jour de sécurité mensuelle. Malheureusement les constructeurs ne sont pas tous aussi rapides que Google ou Samsung pour déployer ces mises à jour et à ce jour encore 37% des appareils Android sont vulnérables à cette faille.