Top

Apple et la protection contre les attaques par force brute

Pour commencer, qu’est-ce qu’une attaque par force brute ?

Selon Wikipédia : « En cryptographie, une attaque par force brute consiste pour un attaquant à soumettre de nombreux mots de passe ou phrases de passe dans l’espoir de finir par les deviner correctement. L’attaquant vérifie systématiquement tous les mots de passe et phrases de passe possibles jusqu’à ce qu’il trouve le bon. L’attaquant peut également tenter de deviner la clé qui est généralement créée à partir du mot de passe à l’aide d’une fonction de dérivation de clé. C’est ce qu’on appelle une recherche exhaustive de la clé. »

Apple publie et met à jour régulièrement un document présentant les moyens de protection mis en œuvre disponible sur sa plateforme.

Ce document explique entre autres comment les Mac Apple silicon ou équipés de la puce T2 disposent de protections contre les attaques par force brute. Cette protection ne s’applique que si FileVault est activé et son concept est similaire à celui de la protection des appareils iOS contre les attaques par force brute.

Protection iOS/iPadOS

Sur iOS/iPadOS, si un code d’accès incorrect est saisi plus de cinq fois, un délai d’une minute est fixé.

entre 1 et 4 tentatives infructueux pas de délai d’attente
à la 5e tentative 1 minute d’attente
à la 6e tentative 5 minutes d’attente
entre 7 et 8 tentatives 15 minutes d’attente
à la 9e tentative 1 heure d’attente

Si l’option « Effacer les données » est activée (dans Réglages > Face ID & code), après 10 tentatives consécutives incorrectes de saisie du code d’accès, tout le contenu et les paramètres sont supprimés du stockage. Les tentatives consécutives du même code d’accès incorrect ne sont pas prises en compte dans la limite.

Ce paramètre est également disponible en tant que politique administrative via une solution de gestion des appareils mobiles (MDM) prenant en charge cette fonction et via Microsoft Exchange ActiveSync, et peut être défini sur un seuil inférieur.

Sur les appareils dotés de Secure Enclave, les délais sont appliqués par Secure Enclave. Si l’appareil est redémarré pendant un délai, le délai est toujours appliqué et la minuterie recommence pour la période en cours.

Protection pour les Mac

Pour éviter les attaques par force brute, au démarrage du Mac, pas plus de 10 tentatives de mot de passe sont autorisées dans la fenêtre de connexion ou en mode disque cible, et des délais progressifs sont imposés après un certain nombre de tentatives incorrectes. Les délais sont appliqués par Secure Enclave. Si le Mac est redémarré pendant un délai, le délai est toujours appliqué, et la minuterie recommence pour la période en cours.

Le tableau ci-dessous montre les délais entre les tentatives de mot de passe sur un Mac Apple silicon ou équipé de la puce T2.

5 tentatives 1 minute
6 tentatives 5 minutes
7 tentatives 15 minutes
8 tentatives 15 minutes
9 tentatives 1 heure
10 tentatives désactivé

Note : Pour éviter que des logiciels malveillants ne provoquent une perte de données permanente en tentant d’attaquer le mot de passe de l’utilisateur, ces limites ne s’appliquent pas après que l’utilisateur se soit connecté avec succès au Mac, mais elles sont réimposées après le redémarrage.

Si les 10 tentatives sont épuisées, 10 autres tentatives sont disponibles après avoir démarré dans la partition de secours de macOS (recoveryOS). Et si celles-ci sont également épuisées, alors 10 tentatives supplémentaires sont disponibles pour chaque mécanisme de récupération FileVault (récupération iCloud, clé de récupération FileVault et clé institutionnelle qui est dépréciée aujourd’hui), pour un maximum de 30 tentatives supplémentaires. Une fois ces tentatives supplémentaires épuisées, la Secure Enclave ne traite plus aucune demande de déverrouillage du volume ou de vérification du mot de passe, et les données du disque deviennent irrécupérables.

Note : Pour aider à protéger les données dans un environnement d’entreprise, le service informatique doit définir et appliquer des politiques de configuration FileVault en utilisant une solution MDM. Les organisations ont plusieurs options pour gérer les volumes chiffrés, y compris les clés de récupération personnelles (qui peuvent éventuellement être stockées dans la solution MDM avec le séquestre). La rotation des clés peut également être définie comme une politique dans votre solution MDM.

Sur un Mac équipé de la puce de sécurité T2 d’Apple, le mot de passe remplit une fonction similaire, sauf que la clé générée est utilisée pour le chiffrement FileVault plutôt que pour la protection des données. macOS offre également des options supplémentaires de récupération du mot de passe :

  • Récupération iCloud
  • Récupération de FileVault
  • Clé institutionnelle FileVault (dépréciée)

Que se passe-t-il après toutes ces tentatives ? Le Mac se verrouille-t-il définitivement ?

La réponse est non, mais le disque de démarrage du Mac devra être effacé avant de pouvoir être réutilisé. Cette approche permet de s’assurer que le Mac est toujours utilisable, mais aussi que les données chiffrées stockées sur le disque de démarrage ne sont plus récupérables.

Si vous souhaitez acquérir les connaissances nécessaires pour réaliser du support aux utilisateurs de Mac, nous vous invitons à vous inscrire à notre formation Administration et Support de macOS, disponible en présentielle et à distance.

Comments are closed.