iPhone Explorer - Attention à  la sécurisation de vos applis

24

Réponses



  • C'est un combat perdu d'avance :-) D'ailleurs il me semble que le terme cryptage apparaà®t dans les dico.




     


    Il faut savoir que les dictionnaires ne représente contiennent pas que les mots actuellement validé par l'académie française. Ils ajoutent régulièrement (à  tord ou à  raison) des mots passé dans le langage courant mais pas reconnu par l'AF.


     


    Concernant le terme de cryptage, voici ce qu'en dit l'académie :


     



     


     


    Monsieur,


    L'action qui consiste à  coder un texte s'appelle le chiffrement ou le chiffrage. Le verbe

    correspondant est chiffrer. Encryption est effectivement un anglicisme à  bannir. Crypter ne

    figure pas dans le Dictionnaire de l'Académie française, mais se trouve dans de nombreux

    usuels. Ce qui n'empêche pas que c'est chiffrer qui doit être employé.


    Cela étant, il semble que crypter trouve sa place et son rôle, surtout au passif, quand

    il s'agit de désigner des chaà®nes nécessitant un décodeur pour être reçues en clair.

    En résumé on chiffre les messages et on crypte les chaà®nes.


    Cordialement,


    Service du dictionnaire <dictionnaire@academie-francaise.fr>

     


    Source : http://fr.wikipedia.org/wiki/Discussion:Chiffrement

  • LeChatNoirLeChatNoir Membre, Modérateur

    oé mais là , ça nécessite un niveau de compétences quand même high level.


     


    Entre laisser un plist en clair, que n'importe qui pourra repomper et laisser un plist "crypté" que seuls des experts en dev et reverse pourront repomper, y a quand même une différence.


     


    Maintenant, en CoreData, je me demande si vous avez pas raison. Ca s'ouvre de ttes façon pas avec un simple éditeur de texte...


    Mais ça peut s'ouvrir avec un autre outils j'imagine non ? Je veux dire le .sqllite...


  • Cela étant, il semble que crypter trouve sa place et son rôle, surtout au passif, quand

    il s'agit de désigner des chaà®nes nécessitant un décodeur pour être reçues en clair.

    En résumé on chiffre les messages et on crypte les chaà®nes.


     


     



     


    cool.. comme ça l'académie vas pouvoir passer des années de dur labeur à  trouver les mots adaptés pour :


    - le cryptage des images


    - le cryptage des sons


    - le cryptage des courriels


    - le cryptage des clavardiages


    - le cryptage des bogues



  • oé mais là , ça nécessite un niveau de compétences quand même high level.




     


    Essaye et tu verra que pour un dev ce n'est pas du tout high level.


     


    Le seul truc chiant sur iOS c'est qu'il faut du jailbreak pour accéder au code en clair (chiffré avec FairPlay à  la base). Une fois que c'est fait, tout ce que tu as à  faire, c'est regarder les chaines de caractère avec strings pour voir si tu as quelque chose qui ressemble à  une clef statique dans le code.


     


    S'il n'y a pas de clef statique, un peu de lecture dans la méthode de déchiffrement pour voir si elle sors du Keychain ou autre et c'est réglé.


     


    Bien entendu, il faut aussi regarder ce qu'il se passe lors de la mise à  jour de la base, est-ce que ce qui est récupéré de votre serveur est déjà  chiffré ? Si ce n'est pas le cas c'est bien plus simple de demander au serveur quelles sont les données.


     


    Si vous vous y pencher 5 min vous verrez que, pour qui a déjà  utilisé sérieusement lldb / gdb, le reverse c'est pas si complexe que ça.



  • cool.. comme ça l'académie vas pouvoir passer des années de dur labeur à  trouver les mots adaptés pour :


    - le cryptage des images


    - le cryptage des sons


    - le cryptage des courriels


    - le cryptage des clavardiages


    - le cryptage des bogues




     


    Mouais, ils veulent surtout dire que Canal+ à  fait de la merde depuis longtemps donc la chaine crypté se serra dur de revenir dessus, par contre pour le reste on arrête les conneries et on parle de chiffrement.

  • 0fb8 c1de a075 5fef 0042
  • LeChatNoirLeChatNoir Membre, Modérateur

    donc tu préconises que j'utilise classiquement mon CoreData avec Magical et que je laisse faire ? D'après toi, pas la peine d'aller plus loin ?



  • donc tu préconises que j'utilise classiquement mon CoreData avec Magical et que je laisse faire ? D'après toi, pas la peine d'aller plus loin ?




     


    Disons que si tu veux réellement protéger ton contenu de manière sérieuse, tu va être obliger d'en arriver aux DRM avec clef d'usage temporaire et tout le bordel, et encore on a très bien vu ce que ça a donné avec les musiques et le livres (je te laisse chercher le nombre d'outil en ligne permettant de casser FairPlay, la DRM d'Apple).


     


    Je te dirais d'y aller si tes données te coutent cher ou te rapportent beaucoup d'argent. Tu me dirais que tu souhaite protéger la base de donnée du Vidal sur iOS, je dirais qu'il y a du sens, même si c'est quasi impossible.


     


    Pour protéger la liste des sites d'escalade sur une application gratuite, je pense que c'est une perte de temps colossale...

  • AliGatorAliGator Membre, Modérateur
    C'est pour cela que je préconisais de se contenter d'appliquer l'attribut NSFileProtectionComplete sur le fichier .sqlite (c'est juste une ligne de code !) ce qui va chiffrer le fichier.


    ça va pas le rendre inviolable via du rétro-engineering ou du jailbreak, mais de toute façon ce combat est perdu d'avance comme l'explique yoann (pour une fois que je m'étais cantonné a l'explication courte pour pas rentrer dans les détails ^^)
  • LeChatNoirLeChatNoir Membre, Modérateur

    Oé oé, je vous vois venir en fait.


    Vous faites tout pour que je crypte pas et me piquer mes données.


     


    Bande de rapaces >:D


     


    Plus sérieusement, vous m'avez convaincus 8--)  Merci messieurs :)




  • C'est pour cela que je préconisais de se contenter d'appliquer l'attribut NSFileProtectionComplete sur le fichier .sqlite (c'est juste une ligne de code !) ce qui va chiffrer le fichier.




     


    NSFileProtectionComplete protège les donnés utilisateurs mais pas les données de l'utilisateur. Quelqu'un avec iPhone Explorer (sans jailbreak ni rien) accèdera quand même aux données si le téléphone est déverrouillé.

  • LeChatNoirLeChatNoir Membre, Modérateur

    bah, de ttes façons, qu'on me repompe mes données, c une chose. De là , à  les exploiter et les faire vivre au rythme ou on le fait, c'en est une autre... Donc, fonçons :)




  •  




    Tu me dirais que tu souhaite protéger la base de donnée du Vidal sur iOS, je dirais qu'il y a du sens, même si c'est quasi impossible.




     


    Il me semble que ce n'est pas le meilleur exemple car le Vidal vend cher des données qui ne lui ont rien coûté puisque fournies par les labos. Pomper leur bdd pour la rendre accessible gratuitement ne devrait pas nuire à  grand monde, à  part aux éditeurs du Vidal. Les hypochondriaques ont de toutes façons déjà  tout ce qu'il leur faut sur internet.


    Si c'était la revue Prescrire je raisonnerais différemment ...


     



  • KubernanKubernan Membre
    décembre 2013 modifié #45

    En parlant chiffrement, qu'en est-t-il des déclarations à  faire auprès d'Apple ? Il me semblait (mais je me trompe peut-être) que l'usage d'une méthode de chiffrement (même faite via les APIs d'Apple) devait faire l'objet d'une déclaration spécifique.


    ça se passe comment concrètement ?




  • En parlant chiffrement, qu'en est-t-il des déclarations à  faire auprès d'Apple ? Il me semblait (mais je me trompe peut-être) que l'usage du méthode de chiffrement (même faites via les APIs d'Apple) devait faire l'objet d'une déclaration spécifique.


    ça se passe comment concrètement ?




     ça m'intéresse aussi, mais il me semble avoir lu sur CocoaCafé une réponse  je crois disant qu'on France on a pas besoin de déclaration spécifique ( il a parlé du gouvernement Jospin,...) mais je ne suis pas vraiment.  



  • Il me semble que ce n'est pas le meilleur exemple car le Vidal vend cher des données qui ne lui ont rien coûté puisque fournies par les labos. Pomper leur bdd pour la rendre accessible gratuitement ne devrait pas nuire à  grand monde, à  part aux éditeurs du Vidal. Les hypochondriaques ont de toutes façons déjà  tout ce qu'il leur faut sur internet.


    Si c'était la revue Prescrire je raisonnerais différemment ...


     



     


    Personnellement, peut importe la valeur des données et comment elles sont obtenues. Le fait est que le vidal se vends cher et que si tu fais une application pour eux tu va devoir les protéger.



  • En parlant chiffrement, qu'en est-t-il des déclarations à  faire auprès d'Apple ? Il me semblait (mais je me trompe peut-être) que l'usage d'une méthode de chiffrement (même faite via les APIs d'Apple) devait faire l'objet d'une déclaration spécifique.


    ça se passe comment concrètement ?




     


    Je n'ai jamais eu l'occasion de le faire. Il y a clairement une option pour spécifier les fonctions de chiffrement dans la publication sur AppStore. J'ai entendu parler de délais de 4 à  6 semaines pour être autorisé.



  •  ça m'intéresse aussi, mais il me semble avoir lu sur CocoaCafé une réponse  je crois disant qu'on France on a pas besoin de déclaration spécifique ( il a parlé du gouvernement Jospin,...) mais je ne suis pas vraiment.  




     


    Attention aux raccourcis. En France on a pas besoin de déclaration selon le type de chiffrement. Tout est indiqué ici


    http://www.ssi.gouv.fr/fr/reglementation-ssi/cryptologie/tableau-de-synthese-de-reglementation-en-matiere-de-cryptologie.html

  • CéroceCéroce Membre, Modérateur


     ça m'intéresse aussi, mais il me semble avoir lu sur CocoaCafé une réponse  je crois disant qu'on France on a pas besoin de déclaration spécifique ( il a parlé du gouvernement Jospin,...) mais je ne suis pas vraiment.  




     


    Je crois que c'est moi qui avait parlé de ça: avant le gouvernement Jospin, on n'avait pas le droit d'utiliser des clefs plus longues que 128 bits. Ce qui ne signifie pas, par exemple, qu'on peut utiliser une clef 256 bits sans autorisation.


     




    Attention aux raccourcis. En France on a pas besoin de déclaration selon le type de chiffrement. Tout est indiqué ici


    http://www.ssi.gouv.fr/fr/reglementation-ssi/cryptologie/tableau-de-synthese-de-reglementation-en-matiere-de-cryptologie.html




     


    Merci pour le lien.

  • muqaddarmuqaddar Administrateur

    Moi, je m'en suis servi.


     


    Si il y a chiffrement, vous devez le déclarer sur l'AppStore quand vous publiez votre application.


     


    Et là , ça peut vite devenir très compliqué, genre des formulaires à  envoyer à  l'administration américaine (où on y comprend rien) et des délais de 3 mois possibles. ça doit être par rapport au Patriot Act...


     


    Je ne l'ai pas fait.


     


    J'ai déclaré mon appli chiffrée mais avec une option qui indique que les données chiffrées ne sont pas "confidentielles". En gros qu'elles font parti du domaine public. (ce que je considère être mon cas pour des régions et appellations de vins... même si j'encode aussi les données perso de l'utilisateur)


     


    Je ne me souviens pas des termes exacts, car ça fait 18 mois... mais c'est passé comme une lettre à  La Poste.


  • Merde je ne connaissais même pas cette blague. Dans mon appli il y a des informations qui servent de "licence" pour l'utilisation. Et que j'encode. Je n'ai fais aucune déclaration pas même à  l'Apple Store. Et s'est passé crème.


  • AliGatorAliGator Membre, Modérateur
    décembre 2013 modifié #53

    Et que j'encode.

    Encoder ça ne pose aucun problème. C'est chiffrer qui pose question.
    Les 2 termes n'ont rien à  voir (attention au vocabulaire comme souligné par yoann)
  • Il me semble même l'utilisation de https doit avoir la déclaration spécifique, si je ne dis pas de bêtises :)


  • AliGatorAliGator Membre, Modérateur

    Il me semble même l'utilisation de https doit avoir la déclaration spécifique, si je ne dis pas de bêtises :)

    Attention à  ne pas tout mettre dans le même panier.

    Accéder à  un site HTTPS ne pose aucun souci.

    Utiliser un certificat privé interne et un algo de chiffrement pour faire passer des données sur HTTP over SSL, ça ne sais pas si ça rentre dans le cadre de la question sur le chiffrement lors de la publication sur l'AppStore, faudrait creuser.
    Mais c'est quand même un cas très rare, contrairement à  l'accès à  un WebService ou site en HTTPS.


  • Moi, je m'en suis servi.


     


    Si il y a chiffrement, vous devez le déclarer sur l'AppStore quand vous publiez votre application.


     


    Et là , ça peut vite devenir très compliqué, genre des formulaires à  envoyer à  l'administration américaine (où on y comprend rien) et des délais de 3 mois possibles. ça doit être par rapport au Patriot Act...


     


    Je ne l'ai pas fait.


     


    J'ai déclaré mon appli chiffrée mais avec une option qui indique que les données chiffrées ne sont pas "confidentielles". En gros qu'elles font parti du domaine public. (ce que je considère être mon cas pour des régions et appellations de vins... même si j'encode aussi les données perso de l'utilisateur)


     


    Je ne me souviens pas des termes exacts, car ça fait 18 mois... mais c'est passé comme une lettre à  La Poste.




     


    Merci pour ton retour d'information.


  •  


     


    L'action qui consiste à  coder un texte s'appelle le chiffrement ou le chiffrage

     


    Désolé j'ai beaucoup de mal avec le vocabulaire et la langue française. Mais je fais des efforts (et j'ai des excuses :)).


     


    Du coup demander une authentification par numéro de licence à  l'utilisateur puis coder cette clé et d'autres informations personnelle sur le mobile dans un fichier avec une clé. Cela s'appelle bien "chiffrer" non ? Si je comprend bien la définition. Et ce fichier sert d'authentification pour un appareil mobile.


  • Concernant la loi sur l'utilisation du chiffrement en france, elle est libre aujourd'hui. Donc pas de déclaration à  faire lorsque vous mettez en place un certificat HTTPS sur vos serveurs.


     


    Concernant la mise à  disposition d'un service de chiffrement (exemple récent, le client OpenVPN sur iOS en France), que ce soit pour la création ou l'import d'un hardware spécifique, une déclaration est nécessaire.


     


    Concernant l'exportation depuis la france de technologie de chiffrement à  des fins d'authentification (ex, vos licences utilisateurs), c'est libre.


     


    Concernant l'exportation de technologie de chiffrement grand public, c'est soumis à  déclaration.


     


    Concernant l'exportation de technologie de chiffrement plus spécialisé c'est soumis à  déclaration voir autorisation.


     


    Et pour la cryptanalyse, c'est toujours soumis à  autorisation.


     


    C'est ce que vous avez dans le lien précédemment cité.


     


    Concernant les lois US, je ne les connais pas.


  • je fais du chiffrement avec l'algo BlowFish avec une appli OS X + site perso sur free.fr sans que je me sois posé la question de la légalité de l'opération ...




  • je fais du chiffrement avec l'algo BlowFish avec une appli OS X + site perso sur free.fr sans que je me sois posé la question de la légalité de l'opération ...




     


    Comme la plupart des gens. Et c'est une erreur. 

  • tabliertablier Membre
    décembre 2013 modifié #61

    Concernant les lois US, je ne les connais pas



      8--)   Pour les USA c'est très simple: tu as le droit à  tous les types de chiffrement dont la NSA a déjà  les algorithmes de craquage.


Connectez-vous ou Inscrivez-vous pour répondre.