Sécurité Android : Bien à l’abri derrière son code à 4 chiffres ?

La sécurité Android est une vaste blague, il ne se passe pas une semaine sans que l’on démontre à quel point nos terminaux sont troués de partout. Entre les applications tierces, les failles du système lui même et les récentes découvertes sur les cartes sim, la vidéo de ce robot perceur de code fini de donner des frissons.

Il faut 20 heures à ce petit robot artisanal à 200$ pour trouver un code à 4 chiffres sur un terminal Android. Justin Engler et Paul Vine ont construit l’engin à partir de materiel de récupération, d’un stylet capacitif et de pièces fabriquées artisanalement à l’aide d’une imprimante 3D. But du jeu, entrer des codes en série pour trouver le bon.

Baptisé R2B2 en hommage à un autre robot plus célèbre, le Robotic Reconfigurable Button Basher n’a pas d’autre but que d’attirer l’attention sur la faible sécurité de ce type de protection.

Si passer 20 heures a « craquer » un code de ce type parait un peu fastidieux, tout dépend en fait de la qualité des informations que l’on peut récupérer à l’intérieur de votre terminal. Votre smartphone peut être très précieux si il contient des accès vers des données confidentielles, voire des mots de passes plus complexes. Beaucoup d’utilisateurs ont la fâcheuse habitude d’utiliser le même code pour tous leurs accès : code d’alarme personnel, code de carte bancaire, code de porte…

C’est tout le problème, en cas de vol d’un smartphone et d’une carte bleue, si il ne faut que quelques heures pour récupérer ces infos, il est possible de vider vos comptes avant que vous puissiez faire opposition, établir un transfert d’argent ou même rapidement changer les accès de vos abonnement de stockage cloud ou autres VPN.

Là où Apple impose un délai d’attente qui va crescendo après un trop grand nombre d’erreurs, la sécurité Android ne propose pas cette solution et le travail de tests de codes « brut » est donc rendu possible. Les 2 chercheurs en sécurité indique que le même robot effectuant la même opération avec un code à 6 chiffres au lieu de 4 prendrait 2 mois et non pas 20 heures…

Un conseil, si vous utilisez le même code pour tous vos appareils, variez les plaisir et farfouillez du côté des alternatives a ce système du côté d’Android. dans vos paramètres, un mot de passe à 6, 8 ou 10 chiffres sera bien plus efficace qu’un simple code.

Source : TheVerge


Soutenez Minimachines avec un don mensuel : C'est la solution la plus souple et la plus intéressante pour moi. Vous pouvez participer via un abonnement mensuel en cliquant sur un lien ci dessous.
2,5€ par mois 5€ par mois 10€ par mois Le montant de votre choix

Gérez votre abonnement

70 commentaires sur ce sujet.
  • 26 juillet 2013 - 14 h 40 min

    @MrassoL:

    Avec du troll de si bas étage, tu finirais en sqfp sur HFR (j’ose penser que tu sauras ce que cela veut dire si tu traînes là bas).

    Répondre
  • 26 juillet 2013 - 14 h 53 min

    @toniolol:

    ios 6 est dispo sur l’iphone 3GS, castré mais dispo.
    le 3GS est sorti en 2009, peu de temps apres, le nexus one est lancé,
    le nexus one est resté sous 2.3 …

    le lumia 800 est mis a jour sous windows phone 7.8 (une sorte de wp8 castré aussi), il est sorti en 2011
    a peut pret a la meme date, le nexus S sort, le support s’est arrété a la version 4.1, ca fait 9 mois qu’il n’y a plus mises a jour.

    samsung rien a dire, ils font des mises a jour, c’est lent mais il le font …

    j’ai des bugs présents sur android depuis la 1.5/1.6, sur mon one x en 4.1.2 ils y sont toujours

    Google fera payer l’acces a ses services, ils vont tellement brider ou tellement y coller de pub qu’on va se sentir obligé de payer …

    Répondre
  • 26 juillet 2013 - 14 h 54 min

    Je vais peut-être vous paraître incongru
    Mais je n’ai aucun code (pin ou punk) sur mes téléphones et ça depuis que j’ai souscrit mon premier abonnement.
    Pour moi mettre un code m’enmède plus à chaque dévérouillage que me servira vraiment contre une intrusion du fait que mon téléphone ne me lâche pas et est tout le temps avec moi et que je ne le sors pas n’importe quand et devant n’importe qui.
    Je n’ai jamais eu de problème.

    C’est comme porter des bijoux avec code d’ouverture ou encore avoir une voiture avec démarrage codé.

    Répondre
  • 26 juillet 2013 - 14 h 55 min

    @Majid:

    des qu’on tacle android on est un troll … c’est un comique …

    Répondre
  • 26 juillet 2013 - 14 h 58 min

    @MrassoL:
    Quel sont tes bugs sur Android ? Cela concerne la sécurité ?
    Pour IOS6 sur 3GS je suis pas convaincu, vu déjà la claque qu’il avait pris avec IOS4 quand je m’en suis débarrassé….
    Est-ce que le kernel corrige vraiment quelque chose ?

    Répondre
  • 26 juillet 2013 - 15 h 03 min

    @MrassoL:

    La on n’est même plus à la canne à pêche mais au filet de chalutier.
    Je ne suis pas contre apple ou pour android.
    Je suis plus pour des gens qui argumentent avec de vrais sources et qui ne prennent pas juste les aspects qui les arrange dans leur discours.

    Répondre
  • 26 juillet 2013 - 15 h 03 min

    @toniolol:

    Le bug le plus débile c’est un pb de sortie audio : android n’a pas compris qu’un kit main libre ca sert a faire sortir le son … mon kit marche avec TOUS les os, mais pas android, je suis obligé de passer par une appli tierse. (je parle pour google now ou la reconnaissance vocale)

    Répondre
  • 26 juillet 2013 - 15 h 05 min

    @Majid:

    mes arguments sont en carton ? ils viennent TOUS de wikipedia …

    Répondre
  • 26 juillet 2013 - 15 h 07 min

    Ah oui Wikipedia.
    Le site le plus objectif de la terre et où tout est vrai :)

    J’ai été un temps champion d’Europe de natation synchronisé en équipe mixte d’après wikipédia.

    Répondre
  • 26 juillet 2013 - 15 h 11 min

    @MrassoL: Je vois pas trop bien le rapport entre ton kit main libre et la sécurité d’Android.

    Répondre
  • 26 juillet 2013 - 15 h 13 min

    @MrassoL:
    Heu….
    Un kit main libre ne sert pas à faire sortir le son mais à téléphoner.
    L’a2dp sert lui à faire transiter le son via BT.
    Et ça c’est fonctionnel depuis belle lurette.
    J’utilise ça depuis de nombreuses années de Eclair à JB en passant par Froyo, Ginger et même Honey….

    Désolé mais j’arrête cet échange qui n’a rien a voir avec les sécurité et rien à voir tout court….

    Répondre
  • 26 juillet 2013 - 15 h 14 min
  • 26 juillet 2013 - 15 h 16 min

    @Pierre Lecourt:

    il n’a rien a voir, mon exemple concerne un bug d’android présent depuis la 1.5 ;)

    Répondre
  • 26 juillet 2013 - 15 h 19 min

    Pour en revenir à la sécurité, que pensez-vous du cryptage proposé par Android ?
    Certains retours parlent de lenteurs et de double démarrage du smartphone.

    Répondre
  • 26 juillet 2013 - 20 h 37 min

    @Pierre Lecourt: Ma question sur le lectorat de ce site était réelle, vu que je ne peux pas le deviner ;)
    C’est peut être ça aussi qui fait la force de ce site, le lectorat moins gamin qu’ailleurs.

    @MrassoL: Oui oui on s’en fou c’est pas le sujet. Android a clairement des défauts, iOS et WP aussi. Qu’on t’appelle troll c’est évident du fait que t’es un anti.
    Je suis d’accord avec certains de tes points, la différence c’est que je sais faire la part des choses. Android me convient très bien jusqu’à maintenant. J’ai longtemps haï Apple à cause de SJ (que je hais toujours), mais maintenant qu’il est mort, j’ai mon macbook et je peste moins contre iOS. J’ai peut être aussi grandi et compris que c’est juste un OS qui n’est pas pour moi, mais je comprends qu’il puisse l’être pour les autres.
    En tout cas, après mon Gnexus, mon prochain phone sera un lumia.

    Désolé pour le HS.

    Répondre
  • 26 juillet 2013 - 21 h 36 min

    @Alex:

    Je ne suis pas un anti (et je n’ai pas non plus dit que les autre OS étaient mieux)! je gere une flotte android, j’ai un one x et un Q10, je suis plus pro BB, j’ai pas mal d’ancienneté sur android (pratiquement depuis le début) j’ai été tres actif sur android-france a ses débuts (il doit y rester encore mes tutos je pense)… j’ai simplement ouvert les yeux! l’OS s’est embelli, ca claque, mais c’est juste des paillettes sur une merde bien fraîche. on met rustine sur rustine et on compense le mauvais dev par des machines de plus en plus puissantes. dans mes connaissances, on est quelques uns a avoir laché l’OS …

    Sur mon Q10 j’ai 2Go de ram, oui, mais avec pas mal d’applis ouvertes, je suis a meme pas 1Go en charge.

    Bref, tout ca pour dire que ce n’est pas du troll de base d’un hater, mais plus le blasé que je suis qui parle …

    Répondre
  • 28 juillet 2013 - 14 h 22 min

    @Pierre Lecourt:

    Entierement d’accord avec PL sur l’article tout comme ses posts ! Il y a certaines personnes qui devraient relire plusieurs fois avant de poster des inepties…

    Répondre
  • 29 juillet 2013 - 3 h 50 min

    Mrassol@

    Je te tiens à te dire que j’ai utilisé quasi tous les OS mobile dans ma vie… Les défauts, des bugs etc… Il y en a partout par exemple sur le Blackberry Z10 redémarrage intempestive du tél : WP8 appli qui se coupe tous seul ainsi qu’une mauvaise gestion des contacts…
    IOS à lui aussi des beugs, Wifi qui se déconnecte tout seul, appli qui beug etc… Et Android aussi! Tout ça pour te dire qu’une personne qui achète un produit regarde le plus adapté à ses besoins.. Et posté un message sur les écouteurs alors que le sujet et la sécurité est le thème ça fait tâche à ta crédibilité…

    Bon, bref la sécurité sur mobile, c’est comme sur pc, il faut faire attention au mot de passé utilisé, la casse et la longueur ce que beaucoup de gens oublient de faire…

    Répondre
  • 29 juillet 2013 - 8 h 44 min

    @Teufke:

    ce que j’ai voulu dire par mon exemple, c’est qui si un « bug » aussi simple que la sortie audio bluetooth n’est pas corrigé, je te laisse imaginer pour les autres problèmes plus sérieux (sachant que le BT est quand meme facilement hackable)

    Répondre
  • 29 juillet 2013 - 17 h 28 min

    @Hello: avec jtag? A rien du tout, les infos transitent en clair.
    Et si tu extrais le flash disk, de toute façon, en brute force, aucune clef raisonnable ne résistera plus de qqs secondes (qui va taper sur son smartphone 15 digits/lettres…).
    C’est un fait, un portable volé, que ce soit un iPhone/BBY/Android… c’est un jeu d’enfant à casser.

    Répondre
  • LAISSER UN COMMENTAIRE

    *

    *