L’outil GrayKey, conçu pour permettre à la police et à d’autres entités d’accéder aux iPhones verrouillés, a acquis de nouvelles fonctionnalités grâce auxquelles vous pouvez capturer le code de verrouillage de l’appareil. Un fait qui serait atteint en installant un malware sur le téléphone avant de le retourner au suspect.

De la force brute à l’ignorance

Nous connaissons GrayKey depuis longtemps, un outil développé par la société Grayshift et qui permet aux attaques par force brute sur le téléphone d’accéder et d’accéder aux données. En terme de la complexité du temps d’accès au mot de passe varie. Il faut environ deux heures pour accéder à un téléphone protégé par un code à six chiffres, pour un code à six chiffres, l’attente peut aller jusqu’à trois jours. Les mots de passe avec des lettres et des chiffres, même s’ils ne comportent que six caractères, représenteraient des années, voire des siècles.

Compte tenu de la situation, Grayshift a développé un nouveau logiciel qu’il a nommé Hide UI. Avec ce logiciel, il n’est pas nécessaire d’attaquer le mot de passe par force brute, mais le capturer lorsque l’utilisateur y entre.
NBC l’explique comme ceci:

Les responsables de l’application des lois doivent installer le logiciel d’infiltration, puis préparer le terrain pour rendre un appareil saisi au suspect, ont déclaré des personnes familières avec le système. […]

Par exemple, un responsable de l’application des lois pourrait dire au suspect qu’il peut appeler son avocat ou obtenir les numéros de téléphone de l’appareil. Une fois que le suspect a fait cela, même si vous verrouillez à nouveau votre téléphone, Hide UI aura stocké le mot de passe dans un fichier texte qui peut être extrait la prochaine fois que le téléphone se connecte à l’appareil GrayKey. Les forces de l’ordre peuvent utiliser le mot de passe pour déverrouiller le téléphone et extraire toutes les données qui y sont stockées.

Sans aucun doute, la pratique, comme le commente John Gruber, est basée sur manque de connaissances des propriétaires Depuis l’appareil:

Quiconque fait confiance à son appareil après avoir su qu’il est entre les mains de la police est un imbécile. Il faudrait être assez stupide pour en tomber amoureux, mais il y a beaucoup de gens stupides là-bas.

Bien que les forces de police ne soient censées avoir accès à l’information que si elles ont un mandat NBC n’a trouvé aucun mandat de perquisition indiquant que masquer l’interface utilisateur.

Comment auditer nos mots de passe pour les sites Web et les applications

Il ne fait aucun doute que le débat entre l’accès au moyen d’un mandat de perquisition et les abus est divisé par une ligne très mince. Apple a été clair à ce sujet: «vous ne pouvez pas créer un accès juste pour le bien», les mauvais le trouveront tôt ou tard.