Codes et mots de passe
Pour protéger les données des utilisateurs contre les attaques malveillantes, Apple utilise des codes sous iOS et iPadOS et des mots de passe sous macOS. Plus un code ou un mot de passe est long, plus il est robuste et permet de décourager les attaques en force. Pour décourager davantage les attaques, Apple applique des délais (pour iOS et iPadOS) et un nombre limité de tentatives de mot de passe (pour Mac).
Sous iOS et iPadOS, lorsque l’utilisateur configure le code ou le mot de passe d’un appareil, il active automatiquement la protection des données. La protection des données est également activée sur d’autres appareils dotés d’un système sur puce Apple, comme un Mac avec puce Apple, l’Apple TV et l’Apple Watch. Sous macOS, Apple utilise le programme intégré de chiffrement des volumes FileVault.
Renforcement de la sécurité au moyen de codes et de mots de passe robustes
iOS et iPadOS prennent en charge les codes à six chiffres, à quatre chiffres et les codes alphanumériques de longueur arbitraire. En plus de déverrouiller l’appareil, le code ou le mot de passe fournit l’entropie pour certaines clés de chiffrement. Cela veut dire que, sans le code de sécurité, un assaillant en possession d’un appareil ne peut accéder aux données appartenant à certaines classes de protection.
Le code ou le mot de passe étant emmêlé avec l’UID de l’appareil, des attaques en force sont nécessaires pour tenter d’accéder à l’appareil. Un grand nombre d’itérations est utilisé pour ralentir chaque tentative. Ce nombre d’itérations est étalonné de sorte qu’une tentative prenne environ 80 millisecondes. En fait, il faudrait plus de cinq ans et demi pour essayer toutes les combinaisons d’un code alphanumérique à six caractères composé de lettres minuscules et de chiffres.
Plus le code de l’utilisateur est complexe, meilleure est la clé de chiffrement. De plus, en utilisant Face ID ou Touch ID, l’utilisateur peut établir un code beaucoup plus robuste que ce qui serait autrement pratique. Ce code augmente le degré réel d’entropie protégeant les clés de chiffrement utilisées pour la protection des données, sans nuire à l’expérience de l’utilisateur qui déverrouille son appareil maintes fois par jour.
Si un long mot de passe qui ne contient que des chiffres est entré, un pavé numérique s’affiche sur l’écran verrouillé à la place du clavier complet. Un code numérique de longueur importante peut être plus facile à saisir qu’un code alphanumérique court, tout en fournissant un niveau de sécurité identique.
Les utilisateurs peuvent indiquer un code alphanumérique plus long en sélectionnant « Code alphanumérique personnalisé » comme Options de code dans Réglages > Touch ID et code ou Face ID et code.
Comment décourager les attaques en force avec des délais de plus en plus longs
Sous iOS, iPadOS et macOS, pour compliquer encore davantage les attaques en force, des délais de plus en plus longs sont prévus après la saisie d’un code, d’un mot de passe ou d’un NIP non valide (en fonction de l’appareil et de sa situation), comme indiqué dans le tableau ci-dessous.
Tentatives | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 ou plus |
|---|---|---|---|---|---|---|---|---|
Écran verrouillé iOS et iPadOS | Aucune | 1 minute | 5 minutes | 15 minutes | 1 heure | 3 heures | 8 heures | L’appareil est désactivé et doit se connecter à un Mac ou PC |
Écran verrouillé watchOS | Aucune | 1 minute | 5 minutes | 15 minutes | 1 heure | 3 heures | 8 heures | L’appareil est désactivé et doit se connecter à un iPhone |
Fenêtre de connexion et écran verrouillé macOS | Aucune | 1 minute | 5 minutes | 15 minutes | 1 heure | 3 heures | 8 heures | 8 heures |
Mode de récupération macOS | Aucune | 1 minute | 5 minutes | 15 minutes | 1 heure | 3 heures | 8 heures | Consulter « Comment décourager les attaques en force avec des délais de plus en plus longs sous macOS » ci-dessous |
FileVault avec clé de récupération (Personnelle, institutionnelle ou iCloud) | Aucune | 1 minute | 5 minutes | 15 minutes | 1 heure | 3 heures | 8 heures | Consulter « Comment décourager les attaques en force avec des délais de plus en plus longs sous macOS » ci-dessous |
Code NIP macOS de verrouillage à distance | 1 minute | 5 minutes | 15 minutes | 30 minutes | 1 heure | 1 heure | 1 heure | 1 heure |
Si l’option « Effacer les données » est activée sur l’iPhone ou l’iPad (dans Réglages > [Face ID] ou [Touch ID] et code), après 10 tentatives infructueuses consécutives de déverrouillage par code, l’intégralité du contenu et des réglages est supprimée du stockage. Les tentatives consécutives du même mauvais code ne comptent pas dans la limite. Ce réglage peut également être imposé par une politique d’entreprise via une solution de gestion des appareils mobiles (GAM) qui prend en charge cette fonctionnalité et via Microsoft Exchange ActiveSync, de même qu’être fixé à un seuil inférieur.
Sur les appareils qui en sont dotés, les délais sont imposés par le Secure Enclave. Le redémarrage de l’appareil n’annule pas le délai imposé, mais a pour effet de réinitialiser la minuterie.
Comment décourager les attaques en force avec des délais de plus en plus longs sous macOS
Pour contribuer à prévenir les attaques en force, un maximum de dix tentatives de déverrouillage par mot de passe est autorisé dans la fenêtre de connexion ou en mode disque cible au démarrage du Mac, et des délais de plus en plus longs sont imposés après un certain nombre de tentatives infructueuses. Ces délais sont imposés par le Secure Enclave. Le redémarrage du Mac n’annule pas le délai imposé, mais a pour effet de réinitialiser la minuterie.
Pour contribuer à empêcher les logiciels malveillants de causer des pertes de données permanentes en tentant d’attaquer le mot de passe de l’utilisateur, ces limites ne sont plus imposées une fois que l’utilisateur a réussi à se connecter au Mac, mais elles le sont de nouveau après un redémarrage. Si les dix tentatives sont épuisées, dix tentatives supplémentaires sont possibles après un démarrage sous recoveryOS. Si ces tentatives sont aussi épuisées, dix sont disponibles pour chaque mécanisme de récupération FileVault (récupération iCloud, clé de secours FileVault et clé institutionnelle), pour un maximum de trente tentatives supplémentaires. Après l’épuisement de ces tentatives supplémentaires, le Secure Enclave ne traite plus aucune demande de déchiffrement du volume ou de vérification du mot de passe, et les données sur le disque ne sont plus récupérables.
Pour aider à protéger les données en entreprise, les équipes des TI doivent définir une politique claire pour la configuration de FileVault et l’imposer par l’intermédiaire d’une solution de GAM. Les organisations disposent de plusieurs options pour la gestion des volumes chiffrés, comme les clés de secours institutionnelles, les clés de secours personnelles (qui peuvent être enregistrées dans la solution de GAM pour l’autorité de séquestre), ou une combinaison des deux. La rotation de clés peut elle aussi faire l’objet d’une politique de GAM.
Sur un Mac doté de la puce T2 Security d’Apple, le mot de passe assure une fonction similaire, sauf que la clé générée est utilisée pour le chiffrement FileVault plutôt que la protection des données. macOS propose également d’autres options de récupération de mot de passe :
récupération iCloud;
récupération FileVault;
clé institutionnelle FileVault.