La fiabilité des conteneurs Knox présents sur certains smartphones et tablettes de Samsung est à nouveau mise en doute.
La dernière alerte majeure sur cette solution de protection des données professionnelles remontait à fin 2013. Une équipe de chercheurs israéliens avait pointé du doigt une faille permettant à des tiers d’insérer du code malicieux pouvant ensuite se propager à l’échelle du réseau d’entreprise. Après enquête, Samsung avait conclu que les expérimentations ayant conduit à la découverte de cette prétendue brèche avaient été effectuées sur un terminal dont la configuration « n’était pas conforme à un usage en entreprise ».
Cette fois, c’est un autre type de vulnérabilité qui est mis en avant, dans la fonction permettant à l’utilisateur de retrouver un mot de passe oublié. La technologie en question est protégée par un code PIN… stocké en clair sur l’appareil, dans un fichier nommé pin.xmi, selon un blogueur anonyme probablement d’origine allemande et postant sous le pseudo Ares.
Ce dernier a déterminé, via des techniques d’ingénierie inversée, que le mot de passe était sans doute aussi stocké en local, en l’occurrence dans le fichier containerpassword_1.key, chiffré en AES. Malgré les tentatives de Samsung d’enterrer ces fonctions dans une multitudes de classes Java, il affirme que la clé de chiffrement dérive de l’identifiant Android propre à chaque terminal couplé à une chaîne de caractères codée en dur.
« Pour un produit appelé Knox, j’aurais espéré une approche différente« , explique le blogueur. Il poursuit : « La clé devrait dériver d’une fonction de type PBKDF2 [« Password-Based Key Derivation Function 2 »], qui génère des clés plus fiables avec un meilleur caractère aléatoire« . Et d’ajouter : « Le fait que Samsung emploie une clé persistante uniquement pour une fonction permettant à l’utilisateur de retrouver son mot de passe compromet complètement la sécurité du produit« .
Le principal intéressé estime que ces conclusions sont « incorrectes », tout particulièrement parce qu’elles portent sur « une version ancienne » de Knox. Le blogueur se serait en outre trompé dans la fonction générant la clé de chiffrement : celle-ci dériverait bien du mot de passe de l’utilisateur et d’un nombre aléatoire.
Comme le note Silicon.fr, la démonstration du constructeur n’est pas totalement convaincante, car elle semble s’appliquer à la seule version entreprise (Knox EMM) et non celle étudiée par le blogueur anonyme (Knox Personal sur un Galaxy S4).
—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous de Samsung ?
Crédit photo : Pavel Ignatov – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…