En un mot: Une entreprise de récupération de mot de passe a découvert une faille dans la puce T2 d’Apple qui lui permet de casser les informations d’identification d’un utilisateur Mac avec une attaque par force brute. La méthode peut encore prendre un temps considérable, mais avec un mot de passe faible, le logiciel de l’entreprise peut déverrouiller un Mac en aussi peu que 10 heures.

Passware est une entreprise qui vend des solutions de piratage basées sur des logiciels depuis près de 25 ans. Ses outils sont principalement utilisés pour des raisons légitimes telles que la criminalistique et la récupération de données. Cependant, quand Apple a présenté son Puce de sécurité T2 en 2018, Passware a rencontré un problème avec la version macOS de ses outils.

Le T2 est un contrôleur d’accès matériel et n’autorise qu’un certain nombre de tentatives de mot de passe avant de verrouiller le système. Ainsi, la seule façon d’entrer est de déchiffrer la clé de déchiffrement du système de fichiers, ce qui prendrait des millions d’années à forcer même avec l’accélération GPU.

Passware a un nouveau module qui peut contourne le limiteur de tentative de mot de passe. Cependant, 9to5Mac Remarques que c’est relativement lent. Le logiciel peut gérer des dizaines de milliers de tentatives par seconde sur les anciens Mac, mais le nouveau module ne peut gérer qu’environ 15 tentatives par seconde en utilisant le contournement. Pourtant, le logiciel peut utiliser une attaque par dictionnaire de 500 000 mots et déchiffrer un mot de passe relativement faible à six caractères en environ 10 heures.

Étant donné qu’un accès physique à l’ordinateur est requis, cette vulnérabilité T2 ne représente qu’une menace minimale pour l’utilisateur moyen. De plus, cela ne fonctionne que sur les Mac Intel avec une puce T2. Les nouveaux Mac M1 sont invulnérables au piratage, et les anciennes unités sans le T2 sont toujours vulnérables aux anciennes versions des outils.

Publicité

Passware affirme ne vendre ses logiciels qu’à des acheteurs gouvernementaux ou à des entreprises privées qui prouvent qu’ils ont une raison légitime d’utiliser les outils. Il ne divulgue pas non plus la vulnérabilité au public.

Cela dit, maintenant que la faille de sécurité est connue, vous pouvez parier que les pirates se précipitent pour l’exploiter avant qu’Apple ne puisse la verrouiller.

Rate this post
Publicité
Article précédentGoogle, DoorDash et Pepsi rejoignent le portefeuille de partenaires d’événements de l’Iowa
Article suivantLa nouvelle mission d’exorcisme de Destiny 2 est un peu buggée, voici comment éviter les problèmes
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici