Samsung Knox : la sécurité est compromise, malgré l’approbation du gouvernement US

Maj. le 13 avril 2016 à 15 h 36 min

Après que Samsung ait obtenu la validation de son système de sécurité Knox par le gouvernement américain, il s’avère manifestement que l’application est « complètement compromise ».

samsung knox securite

Samsung a développé son logiciel Knox pour ses appareils haut-de-gamme Android avec l’objectif d’attraper un marché ayant de gros besoins de sécurité, en entreprise et auprès des gouvernements.

Ainsi, c’était avec la satisfaction d’une mission accomplie que Samsung annonçait, il y a deux jours, que le gouvernement américain avait approuvé Knox sur plusieurs appareils à utiliser « avec des données et réseaux gouvernementaux classifiés »

Mais plus tôt aujourd’hui, un chercheur a publié un rapport détaillé dans lequel il montre comment l’application Knox conserve l’indice de récupération du mot de passe de l’utilisateur en clair, sans chiffrement, dans l’appareil.

Pour utiliser Knox, l’utilisateur doit entrer un mot de passe et un code PIN, ce dernier étant enregistré dans un fichier système parfaitement lisible. Par ailleurs, ce code PIN peut servir à obtenir un indice de récupération du mot de passe consistant en la première et la dernière lettre de ce dernier, ainsi que du nombre de caractères.

samgung knox faille

Au delà de ce problème déjà assez criant, le chercheur explique que la situation est d’autant plus compromise que Knox doit stocker le mot de passe dans l’appareil. En trouvant un fichier chiffré contenant celui-ci, le chercheur s’est interrogé sur la provenance de la clef de chiffrement.

Il s’est ainsi rendu compte que Knox utilisait pour cela l’identifiant Android de l’appareil, un numéro de série que n’importe application peut demander. A partie de là, l’application génère la clef en utilisant ces numéros :

…avec une chaîne codée en dur et les mélange pour obtenir la clé de chiffrement. je me serais attendu à partir d’un produit, appelé Knox, une approche différente.

Le fait qu’ils conservent cette clef juste l’indice de récupération compromet complètement la sécurité de ce produit. Pour un tel produit, le mot de passe ne devrait jamais être stocké dans l’appareil

Au lieu de Samsung Knox, utilisez la fonctionnalitée de chiffrement intégrée à Android pour chiffrée l’ensemble de l’appareil

Cette dernière déclaration vient en tout cas confirmer l’information selon laquelle le niveau de sécurité d’Android Lollipop dérangeait le FBI et la NSA. Ce qui est en revanche étonnant dans cette information, c’est que le gouvernement américain, qui se pose la question de Knox depuis un long moment, ait pu échapper à la faille. Restons donc connectés pour voir quelle sera la réaction des États-Unis face à ce rapport.

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos dernières applications !
Google Messages 4.1 : nouvelle mise à jour, téléchargez l’APK

Google Messages 4.1 est disponible. Cette nouvelle mise à jour propose son lot de nouveautés, comme les «Actions suggérées». Pour pouvoir en profiter sans devoir attendre le déploiement sur le Play Store, on vous invite à télécharger l’APK ci-dessous. La mise à jour…

Gmail se dote d’un mode confidentiel sur GSuite

Le mode confidentiel de Gmail est désormais disponible en bêta sur les comptes GSuite. Celui-ci permet d’envoyer des emails protégés avec date d’expiration et qui s’autodétruisent. Une option déjà présente sur la version personnelle de la messagerie de la firme…

Viber s’offre un mode sombre sur Android, téléchargez l’APK

Viber permet à ses utilisateurs d’activer un thème sombre depuis sa dernière mise à jour. L’application de messagerie instantanée a déployé cette option très populaire sur Android et la fonctionnalité sera disponible un peu plus tard sur iOS. Un mode nuit…

Nova Launcher 6.0 est disponible : nouveautés, téléchargez l’APK

Nova Launcher et Nova Launcher Prime 6.0 sont disponibles au téléchargement en version stable. La mise à jour majeure apporte de nombreuses nouveautés, comme un menu paramètres repensé, de nouvelles options pour les icônes adaptives, de nouveaux styles pour les…

Google va corriger vos fautes de grammaire en temps réel grâce à l’IA

Google corrige désormais les fautes de grammaire en temps réel en tirant profit des progrès en matière d’intelligence artificielle. Ce correcteur de grammaire n’est pas disponible sous forme d’application isolée, mais est intégré directement dans Google Docs pour les utilisateurs…