Sécurité IT : nouvelle alerte sur Samsung Knox

La fiabilité des conteneurs Knox présents sur certains smartphones et tablettes de Samsung est à nouveau mise en doute.

La dernière alerte majeure sur cette solution de protection des données professionnelles remontait à fin 2013. Une équipe de chercheurs israéliens avait pointé du doigt une faille permettant à des tiers d’insérer du code malicieux pouvant ensuite se propager à l’échelle du réseau d’entreprise. Après enquête, Samsung avait conclu que les expérimentations ayant conduit à la découverte de cette prétendue brèche avaient été effectuées sur un terminal dont la configuration « n’était pas conforme à un usage en entreprise ».

Cette fois, c’est un autre type de vulnérabilité qui est mis en avant, dans la fonction permettant à l’utilisateur de retrouver un mot de passe oublié. La technologie en question est protégée par un code PIN… stocké en clair sur l’appareil, dans un fichier nommé pin.xmi, selon un blogueur anonyme probablement d’origine allemande et postant sous le pseudo Ares.

Ce dernier a déterminé, via des techniques d’ingénierie inversée, que le mot de passe était sans doute aussi stocké en local, en l’occurrence dans le fichier containerpassword_1.key, chiffré en AES. Malgré les tentatives de Samsung d’enterrer ces fonctions dans une multitudes de classes Java, il affirme que la clé de chiffrement dérive de l’identifiant Android propre à chaque terminal couplé à une chaîne de caractères codée en dur.

« Pour un produit appelé Knox, j’aurais espéré une approche différente« , explique le blogueur. Il poursuit : « La clé devrait dériver d’une fonction de type PBKDF2 [« Password-Based Key Derivation Function 2 »], qui génère des clés plus fiables avec un meilleur caractère aléatoire« . Et d’ajouter : « Le fait que Samsung emploie une clé persistante uniquement pour une fonction permettant à l’utilisateur de retrouver son mot de passe compromet complètement la sécurité du produit« .

Le principal intéressé estime que ces conclusions sont « incorrectes », tout particulièrement parce qu’elles portent sur « une version ancienne » de Knox. Le blogueur se serait en outre trompé dans la fonction générant la clé de chiffrement : celle-ci dériverait bien du mot de passe de l’utilisateur et d’un nombre aléatoire.

Comme le note Silicon.fr, la démonstration du constructeur n’est pas totalement convaincante, car elle semble s’appliquer à la seule version entreprise (Knox EMM) et non celle étudiée par le blogueur anonyme (Knox Personal sur un Galaxy S4).

—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous de Samsung ?

Crédit photo : Pavel Ignatov – Shutterstock.com