Samsung Knox : la sécurité est compromise, malgré l’approbation du gouvernement US

Par , 24/10/2014

Maj. le 13 avril 2016 à 15 h 36 min

Après que Samsung ait obtenu la validation de son système de sécurité Knox par le gouvernement américain, il s’avère manifestement que l’application est « complètement compromise ».

samsung knox securite

Samsung a développé son logiciel Knox pour ses appareils haut-de-gamme Android avec l’objectif d’attraper un marché ayant de gros besoins de sécurité, en entreprise et auprès des gouvernements.

Ainsi, c’était avec la satisfaction d’une mission accomplie que Samsung annonçait, il y a deux jours, que le gouvernement américain avait approuvé Knox sur plusieurs appareils à utiliser « avec des données et réseaux gouvernementaux classifiés »

Mais plus tôt aujourd’hui, un chercheur a publié un rapport détaillé dans lequel il montre comment l’application Knox conserve l’indice de récupération du mot de passe de l’utilisateur en clair, sans chiffrement, dans l’appareil.

Pour utiliser Knox, l’utilisateur doit entrer un mot de passe et un code PIN, ce dernier étant enregistré dans un fichier système parfaitement lisible. Par ailleurs, ce code PIN peut servir à obtenir un indice de récupération du mot de passe consistant en la première et la dernière lettre de ce dernier, ainsi que du nombre de caractères.

samgung knox faille

Au delà de ce problème déjà assez criant, le chercheur explique que la situation est d’autant plus compromise que Knox doit stocker le mot de passe dans l’appareil. En trouvant un fichier chiffré contenant celui-ci, le chercheur s’est interrogé sur la provenance de la clef de chiffrement.

Il s’est ainsi rendu compte que Knox utilisait pour cela l’identifiant Android de l’appareil, un numéro de série que n’importe application peut demander. A partie de là, l’application génère la clef en utilisant ces numéros :

…avec une chaîne codée en dur et les mélange pour obtenir la clé de chiffrement. je me serais attendu à partir d’un produit, appelé Knox, une approche différente.

Le fait qu’ils conservent cette clef juste l’indice de récupération compromet complètement la sécurité de ce produit. Pour un tel produit, le mot de passe ne devrait jamais être stocké dans l’appareil

Au lieu de Samsung Knox, utilisez la fonctionnalitée de chiffrement intégrée à Android pour chiffrée l’ensemble de l’appareil

Cette dernière déclaration vient en tout cas confirmer l’information selon laquelle le niveau de sécurité d’Android Lollipop dérangeait le FBI et la NSA. Ce qui est en revanche étonnant dans cette information, c’est que le gouvernement américain, qui se pose la question de Knox depuis un long moment, ait pu échapper à la faille. Restons donc connectés pour voir quelle sera la réaction des États-Unis face à ce rapport.

Réagissez à cet article !
  • Thexos

    Qui a compris ?

    • Warlh

      résumé: verrouillage de ton environnement Knox pas très sécurisé dans la façon dont c’est stocker et structuré sur le smartphone.
      Le chiffrement du mot de passe est chiffré avec des informations simples que n’importe quelle appli’ peut récupérer, donc obtenir facilement la clé pour déchiffrer ton mdp.

      En gros, t’as mis un cadenas mais t’as laissé la clé dessus.

      • Flo974

        « Un chercheur a publié » rien d’officiel.

        • Warlh

          Oui. Tu risque pas de voir Samsung publier une de ses failles en disant que son système est mal fait.

          • Flo974

            Bien sûr que si, le gouvernement US n’aime pas les cachotteries.

          • Warlh

            Genre ça arrangerait pas le gouvernement qu’un faille permette officieusement d’avoir accès au contenu de Knox … mdr
            Ouhh le grand gouvernement américain n’aime pas les cachottier et va punir le vilain samsung …
            A la base, ca faisait chier le FBI et la NSA, le chiffrement natif des tels, alors …
            Laisse moi rire !

            Je suis pas contre Knox, au contraire, je trouve ça bien, mais stocker des infos comme ça c’est juste abusé.

          • Flo974

            Alors tu les stockes ou tes infos ?

          • Warlh

            Déjà tu les stock pas en « clair » . C’est juste le minimum. Parce que tu peux cacher ce que tu veux, si tu le chiffre pas, ca n’a aucun effet, on trouvera la clé.
            Ensuite, c’est pas moi qui est fait la boulette, mais samsung, si t’as des questions, t’excite pas sur moi parce que je ne fais que souligner le défaut de samsung.

          • Flo974

            « souligner le défaut de samsung. » Quel défaut ?

  • ArthyRC

    Evidemment que le gouvernement américain a accepté Knox…..justement parcequ’il y a une « backdoor » qui n’existe plus vraiment chez Apple et ils pourront l’exploiter à fond.

  • Jojo

    Qui confierait sa sécurité aux ingenieurs de Samsung ? Les mecs sont incapables de coder une surcouche fluide sur un octocore… Menfin !

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos dernières applications !
Android Messages sur PC : découvrez son interface

Android Messages sur PC est bien confirmé par Google, et un premier visuel de l’interface est disponible. Celui-ci n’est pas d’une qualité extraordinaire et ne permet pas de voir toutes les fonctionnalités mais offre tout de même une bonne idée…

Google Apps 2
Google va lancer Chat, le iMessage pour Android

Google va lancer une nouvelle fonctionnalité « Chat », qui sera un genre de iMessage pour Android. Basée sur le RCS (Rich Communication System), elle vise à remplacer les autres solutions existantes comme Google Allo. Le développement de ce dernier service est…

Google Apps 15