Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : Une faille de sécurité dans l’écosystème BlackBerry permettrait d’accéder à des informations chiffrées

octobre 2010 par CERT-XMCO

* Le cryptage des sauvegardes BlackBerry compromis

 Date : 05 Octobre 2010

 Gravité : Faible

 Description :

Alors que BlackBerry serait en pourparler avec de nombreux états, pour qui la vie privée deviendrait un obstacle à la sécurité nationale, (voir CXA-2010-1105 et précédents), une faille de sécurité affectant la gestion des sauvegardes aurait été découverte par un chercheur russe.

D’après Elcomsoft, la vulnérabilité en question permettrait à un pirate d’accéder aux informations sauvegardées sur un PC à l’aide du logiciel BlackBerry Desktop Software, alors même que celles-ci sont chiffrées à l’aide de l’algorithme AES et d’une clef secrète de 256 bits.

La faille de sécurité résiderait dans l’utilisation forcée par la solution d’un mot de passe faible constitué de cinq caractères en minuscule et de deux autres en majuscule. D’après le chercheur, une demi-heure de calcul serait suffisante avec un processeur récent pour obtenir la combinaison "magique".

Le problème proviendrait d’une utilisation non standard de la fonction de dérivation "PBKDF2" permettant de générer la clef de chiffrement à partir du mot de passe de l’utilisateur. En effet, une seule itération de celle-ci serait nécessaire dans l’implémentation de BlackBerry, alors même que l’iOS 4.x imposerait 10 000 itérations de la fonction équivalente, ou encore 2 000 itérations dans le cas de l’iOS 3.x.

 Référence :

http://www.lemondeinformatique.fr/actualites/lire-le-cryptage-des-sauvegardes-blackberry-compromis-31832.html

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1105

 Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1326


Voir les articles précédents

    

Voir les articles suivants