Controverse autour de la sécurité de Knox

Un blogueur allemand a dénoncé un manque de protection du mot de passe verrouillant l’accès à l’application Knox. Samsung répond, mais pas de manière totalement satisfaisante.

Anonyme, le blogueur assurait ainsi initialement que Knox 1.0 n’utilisait pas une manière sûre pour générer la clé de chiffrement des données, et regrettait le stockage en clair du code PIN défini durant la configuration initiale de l’application.

Dans un communiqué, Samsung répond en soulignant que la clé de chiffrement des données utilise PBKDF2, une fonction intégrée à Android et… justement recommandée par le blogueur. Et si cette clé est effectivement stockée sur le terminal, pour permettre de monter automatiquement le système de fichiers du conteneur sécurisé, selon le constructeur, son accès est « fortement contrôlé » et limité aux « processus de confiance du système. »

En outre, Samsung rennaît effectivement que le conteneur personnel Knox 1.0 stockait un PIN alternatif en texte brut pour retrouver le mot de passe. Mais cela ne concernait que la version 1.0 du conteneur, supportant les déploiements non administrés. Ce qui ne s’applique pas aux versions suivantes de Knox. Et le Coréen de suggérer aux lecteurs d’essayer My Knox, son successeur disponible sur le Play Store de Google. Las, celui-ci ne fonctionne que sur les Galaxy S5 et Galaxy Note4. Et le blogueur allemand d’interroger : « Ainsi Samsung, vous laissez tous les terminaux plus anciens que le S5 avec une version vulnérable de Samsung Knox ? »