CERT-XMCO : Une faille de sécurité dans l’écosystème BlackBerry permettrait d’accéder à des informations chiffrées
octobre 2010 par CERT-XMCO
* Le cryptage des sauvegardes BlackBerry compromis
– Date : 05 Octobre 2010
– Gravité : Faible
– Description :
Alors que BlackBerry serait en pourparler avec de nombreux états, pour qui la vie privée deviendrait un obstacle à la sécurité nationale, (voir CXA-2010-1105 et précédents), une faille de sécurité affectant la gestion des sauvegardes aurait été découverte par un chercheur russe.
D’après Elcomsoft, la vulnérabilité en question permettrait à un pirate d’accéder aux informations sauvegardées sur un PC à l’aide du logiciel BlackBerry Desktop Software, alors même que celles-ci sont chiffrées à l’aide de l’algorithme AES et d’une clef secrète de 256 bits.
La faille de sécurité résiderait dans l’utilisation forcée par la solution d’un mot de passe faible constitué de cinq caractères en minuscule et de deux autres en majuscule. D’après le chercheur, une demi-heure de calcul serait suffisante avec un processeur récent pour obtenir la combinaison "magique".
Le problème proviendrait d’une utilisation non standard de la fonction de dérivation "PBKDF2" permettant de générer la clef de chiffrement à partir du mot de passe de l’utilisateur. En effet, une seule itération de celle-ci serait nécessaire dans l’implémentation de BlackBerry, alors même que l’iOS 4.x imposerait 10 000 itérations de la fonction équivalente, ou encore 2 000 itérations dans le cas de l’iOS 3.x.
– Référence :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1105
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1326