Daniel Hruska L'envoi de messages via iMessage est un moyen populaire de communiquer entre les appareils iOS et les ordinateurs Mac. Des dizaines de millions de messages sont traités quotidiennement par les serveurs d'Apple, et à mesure que les ventes d'appareils Apple mordus augmentent, la popularité d'iMessage augmente également. Mais avez-vous déjà réfléchi à la façon dont vos messages sont protégés contre les attaquants potentiels ?
Apple a récemment publié dokument décrivant la sécurité iOS. Il décrit joliment les mécanismes de sécurité utilisés dans iOS : système, cryptage et protection des données, sécurité des applications, communication réseau, services Internet et sécurité des appareils. Si vous comprenez un peu la sécurité et que vous n'avez pas de problème avec l'anglais, vous pouvez trouver iMessage à la page 20. Sinon, j'essaierai de décrire le principe de sécurité d'iMessage aussi clairement que possible.
La base de l'envoi de messages est leur cryptage. Pour les profanes, cela est souvent associé à une procédure dans laquelle vous chiffrez le message avec une clé et le destinataire le déchiffre avec cette clé. Une telle clé est dite symétrique. Le point critique de ce processus est la remise de la clé au destinataire. Si un attaquant s'en emparait, il pourrait simplement décrypter vos messages et usurper l'identité du destinataire. Pour simplifier, imaginez une boîte avec une serrure, dans laquelle rentre une seule clé, et avec cette clé vous pouvez insérer et retirer le contenu de la boîte.
Heureusement, il existe une cryptographie asymétrique utilisant deux clés : publique et privée. Le principe est que tout le monde peut connaître votre clé publique, bien entendu vous seul connaissez votre clé privée. Si quelqu'un souhaite vous envoyer un message, il le chiffrera avec votre clé publique. Le message crypté ne pourra alors être déchiffré qu’avec votre clé privée. Si vous imaginez à nouveau une boîte aux lettres de manière simplifiée, alors cette fois elle aura deux verrous. Avec la clé publique, n'importe qui peut la déverrouiller pour insérer du contenu, mais seul vous, avec votre clé privée, pouvez la sélectionner. Bien sûr, j'ajouterai qu'un message chiffré avec une clé publique ne peut pas être déchiffré avec cette clé publique.
Comment fonctionne la sécurité dans iMessage :
- Lorsque iMessage est activé, deux paires de clés sont générées sur l'appareil : 1280b RSA pour crypter les données et 256b ECDSA pour vérifier que les données n'ont pas été falsifiées en cours de route.
- Les deux clés publiques sont envoyées au service d'annuaire d'Apple (IDS). Bien entendu, les deux clés privées restent stockées uniquement sur l’appareil.
- Dans IDS, les clés publiques sont associées à votre numéro de téléphone, votre adresse e-mail et l'adresse de votre appareil dans le service Apple Push Notification (APN).
- Si quelqu'un souhaite vous envoyer un message, son appareil découvrira votre clé publique (ou plusieurs clés publiques si vous utilisez iMessage sur plusieurs appareils) et les adresses APN de vos appareils dans IDS.
- Il crypte le message en utilisant 128b AES et le signe avec sa clé privée. Si le message doit vous parvenir sur plusieurs appareils, le message est stocké et crypté sur les serveurs Apple séparément pour chacun d'eux.
- Certaines données, comme les horodatages, ne sont pas du tout cryptées.
- Toutes les communications se font via TLS.
- Les messages et pièces jointes plus longs sont cryptés avec une clé aléatoire sur iCloud. Chacun de ces objets possède son propre URI (adresse de quelque chose sur le serveur).
- Une fois le message envoyé sur tous vos appareils, il est supprimé. S'il n'est pas délivré sur au moins un de vos appareils, il est laissé sur les serveurs pendant 7 jours puis supprimé.
Cette description peut vous paraître compliquée, mais si vous regardez la photo ci-dessus, vous comprendrez sûrement le principe. L’avantage d’un tel système de sécurité est qu’il ne peut être attaqué que de l’extérieur par la force brute. Eh bien, pour l’instant, parce que les attaquants deviennent plus intelligents.
La menace potentielle réside dans Apple lui-même. En effet, il gère toute l'infrastructure des clés, donc en théorie il pourrait attribuer un autre appareil (une autre paire de clés publique et privée) à votre compte, par exemple en raison d'une décision de justice, dans lequel les messages entrants pourraient être déchiffrés. Cependant, Apple a déclaré ici qu’il ne ferait pas et ne ferait rien de tel.
Et devant qui est-il crypté ? Le SSL normal ne suffirait-il pas, le message est envoyé à Apple et Apple le renvoie ensuite via SSL ? Apple a de toute façon le pouvoir d’écouter les messages, alors pourquoi tout ce bruit autour de lui ? Dans tous les cas, il s'agit simplement d'empêcher un tiers d'écouter le message, et SSL suffit pour cela.
Si nous pensons qu'Apple n'envoie pas de clés privées, alors il ne les lira pas non plus. Et de toute façon, SSL n’est qu’une implémentation de chiffrement asymétrique sur la connexion client-serveur.
Nous envoyons donc le message 2x crypté via SSL et Apple peut le lire, ou 2x non crypté avec le fait que nous demandons les clés publiques au préalable et utilisons le même chiffre que dans le cas de SSL et Apple ne peut pas les lire en théorie.
Et pourquoi les données sont-elles cryptées même chez Apple ? Parce que certains employés y auront certainement accès. Il a été trompé par sa petite amie, alors il commence à télécharger ses messages – cela fuit et Apple est en difficulté.
Drôle de cri..