La société russe, Elcomsoft, indique qu'avant l'arrivée de son produit, il n'y avait aucun moyen d'accéder au mot de passe d'un smartphone BlackBerry. En effet, ces derniers sont configurés pour effacer toutes les données sur le téléphone si un mot de passe est tapé incorrectement 10 fois de suite.

Elcomsoft a démontré qu'il existait un moyen de contourner le problème en utilisant la carte amovible multimedia du BlackBerry, mais seulement si un utilisateur a configuré son smartphone d'une certaine manière. Afin que le logiciel de l'éditeur puisse réussir, un utilisateur doit avoir activé l'option de chiffrement sur la carte multimédia. Cette fonctionnalité est désactivée par défaut, mais Elcomsoft estime qu'autour de 30 % des utilisateurs de BlackBerry choisissent cette sécurité supplémentaire.

Casser le code depuis la carte

Le logiciel peut alors analyser la carte cryptée et utiliser une méthode dite de « force brute » pour trouver un mot de passe, ce qui implique des millions d'essais de combinaisons possibles par seconde. Elcomsoft précise qu'il peut récupérer un mot de passe à sept caractères en moins d'une heure à condition que le mot choisi soit tout en minuscules ou en majuscules. Le logiciel n'a pas besoin d'accéder au BlackBerry mais seulement à la carte.

Cette fonctionnalité est disponible dans le programme nommé Phone Password Breaker. Il coûte 79 livres sterling pour l'édition grand public et  199 £ pour la version professionnelle. Ce programme peut aussi récupérer les mots de passe utilisés pour accéder à des fichiers de sauvegarde cryptés sur les iPhone, iPhone et iPod Touch d'Apple sans avoir besoin d'avoir le terminal dans la main.

Les fichiers de sauvegarde contiennent des données sensibles, y compris les journaux d'appels, les archives de SMS, des calendriers, des photos, des paramètres de compte email, l'historique de la navigation et plus encore.

Elcomsoft est déjà connue pour avoir craqué l'année dernière le service de backup sur PC et Mac (BlackBerry Desktop Software). Elle avait aussi réussi à casser le protocole WPA utilisé par les réseaux sans fil.

(Mise à jour) Suite à l'article, RIM rappelle que la méthode présentée est mise en oeuvre dans des conditions particulières. La société donne quelques conseils pour éviter ces risques.

"Pour une protection plus forte et si l'utilisateur préfère l'option de crypter le contenu d'une carte, RIM préconise de choisir pour le chiffrement la clé du terminal ou de combiner celle-ci avec le mot de passe du smartphone.

Pour augmenter la difficulté de deviner les mots de passe, RIM recommande de toujours utiliser des identifiants forts. Ils doivent avoir les caractéristiques suivantes: ponctuation, chiffres, lettres majuscules et minuscules. Ils ne doivent pas inclure le nom d'utilisateur, de compte ou tout autre mot ou une phrase qui serait facile à deviner.

RIM rappelle que la sécurité des terminaux mobiles et les éléments réseaux sont testés tous les jours par les chercheurs en sécurité de sociétés tierces."