Developpez.com

Le Club des Développeurs et IT Pro

Deux hackers mettent au point un robot capable de casser les codes PIN des smartphones Android

En moins de 24 heures

Le 2013-08-01 14:42:09, par Cedric Chevalier, Expert éminent sénior
En termes de sécurité, le mot de passe constitue la première barrière à laquelle doit souvent faire face un pirate informatique voulant s’approprier les informations confidentielles d’un utilisateur.

D'après nos confrères de TheRegister, une récente étude réalisée par la firme de gestion des périphériques mobiles d’entreprise Fiberlink, révèle que 93 % des employés y ayant pris part utilisent un code PIN facilement cassable pour protéger leurs smartphones et tablettes tactiles.

De plus en plus de personnes ont recours aux périphériques mobiles pour effectuer leurs travaux d’entreprise. Cependant sur ceux de l’étude, 6 % n’exigeaient pas de code PIN ou mot de passe, et 4 % seulement offraient la possibilité d’utiliser une combinaison alphanumérique comme mot de passe.
Des mobiles exigeant le code PIN comme mot de passe, 73 % d’entre eux en réclamaient un de 4 à 5 caractères maximum de longueur et 27 % un code PIN de plus de 5 caractères.

Quel est votre âge ? Si la réponse est 30 ans votre code PIN est très probablement 1983. Les codes PIN de 4 caractères sont facilement cassables. Cependant leur faiblesse ne réside pas seulement dans leur longueur, mais aussi dans la façon de laquelle les utilisateurs les choisissent. La plupart d’entre eux préfèrent utiliser ceux dont ils peuvent se souvenir très facilement. C’est ainsi qu’en plus des plus communs, les années de naissance constituent un choix idéal pour les utilisateurs qui veulent se souvenir de leurs mots de passe.


Par ailleurs, deux « White Hat Hackers » de noms Justin Engler et Paul Vines, ont mis au point un robot baptisé R2B2 (Reconfigurable Button Basher), capable de casser les codes PIN de la plupart des smartphones sous Android en moins de 24 heures. Les blueprint ainsi que les logiciels ayant servi à sa conception seront mis à la disposition du public lors de la DEFCON.



Sources : TheRegister, Datagenetics

Et vous ?

Il est recommandé d'avoir un mot de passe fort. Cependant un code PIN facile à mémoriser est pratique. Quelle solution préconiseriez-vous pour allier les exigences de sécurité en terme de mot de passe à la facilité de rétention pour les utilisateurs ?
  Discussion forum
29 commentaires
  • Max
    Expert éminent sénior
    #10 6969
    le 02/08/2013 à 14:46
  • Vespiras
    Membre actif
    Comment fait le robot pour débloquer le téléphone après plusieurs essais infructueux ?

    Sauf erreur de ma part, la carte sim se bloque après une nombre lambda d'essais erronés (3 ou 5 essais)
    le 01/08/2013 à 18:11
  • Miistik
    Membre émérite
    Tout est dit !

    Un code PIN de 4 chiffres, c'est pas très secure.

    Après, il est vivement recommandé d'ajouter un mot de passe de préférence solide une fois le téléphone allumé.

    Mais bon rare sont ceux qui le font.
    le 01/08/2013 à 14:53
  • Carhiboux
    Expert éminent sénior
    Envoyé par HelpmeMM
    la pertinence de tout ça ?

    je veux dire tu te fait volé ton téléphone, il récupère une liste de numéro et de mail et il en fait quoi ? des guirlandes de noël ?

    en règle générale les gens volent pas un téléphone pour les données qu'il contiennent non ? et si ils le font pour les données c'est clairement pas un code Pin qui va les arrêter, ou tout autre moyen classique

    Ah!!! ils peuvent utiliser le téléphone le temps que tu bloque la carte... mouai on en reviens a ce que je disais avant ,en règle général les mec volent pas un téléphone pour la carte sim.
    La même remarque est valable pour les malwares sur PC.

    Dans la plupart des cas, le but n'est pas de voler des données sur le poste infecté, mais bien d'avoir des postes infectés à disposition pour accomplir d'autres buts.
    le 02/08/2013 à 15:35
  • salve34
    Membre régulier
    4b) Le serveur envoie un signal pour demander l'auto-destruction de certains composants (genre mission impossible avec plein de fumée, ça serait marrant).
    Samsung l'a déjà inventé
    le 06/08/2013 à 12:39
  • Neckara
    Inactif
    Bonjour,

    Envoyé par HelpmeMM
    la pertinence de tout ça ?

    je veux dire tu te fait volé ton téléphone, il récupère une liste de numéro et de mail et il en fait quoi ? des guirlandes de noël ?

    en règle générale les gens volent pas un téléphone pour les données qu'il contient non ? et si ils le font pour les données c'est clairement pas un code Pin qui va les arrêter, ou tout autre moyen classique

    Ah!!! ils peuvent utiliser le téléphone le temps que tu bloques la carte... mouai on en reviens a ce que je disais avant ,en règle général les mec volent pas un téléphone pour la carte sim.
    Certains sites permettent de récupérer de l'argent (sur un compte paypal par exemple), qu'on peut ensuite transférer vers un compte bancaire, en envoyant des SMS à un numéro spécial.

    Pour 3€ de crédit téléphonique, on peut avoir un peu plus de 1,50€. Avec certains forfaits à 50€/mois avec un cumul du forfait restant d'un mois sur l'autre, on peut déjà se faire une petite somme (avant de revendre le portable) et encore... là je ne prend que le cas des forfait "bloqué"...
    le 02/08/2013 à 15:47
  • n5Rzn1D9dC
    Membre averti
    Je ne savais pas qu'il y avait un clear cmos sur les téléphones portables.
    Enfin c'était pour donner un exemple. Il doit bien y avoir un moyen de mettre un mot de passe partie physique qui empêcherait un reset.
    Parce que actuellement, les protections ne servent à rien. Les sims sont jetées à la poubelle, ensuite reset puis revente du mobile.
    le 04/08/2013 à 18:22
  • Neckara
    Inactif
    Code : 
    1
    2
    3
    Mouhaha Si une protection n'a pas de reset (C-CMOS ou code PUK) elle ne sera jamais mis en oeuvre.... et si tu oublie ton Mot de passe et que le hardware est bloqué ? on fait quoi ?

On l'envoi à l'opérateur qui lui à les outils pour le débloqué ? = fail
    On peut avoir plusieurs solutions :
    1) On met sur des composants un code en dur
    2) En cas de vols, on avertit son opérateur
    3) Le téléphone transmet, dès qu'il se connecte au serveur son code en dur
    4a) Le serveur refuse de répondre aux demandes du téléphone
    4b) Le serveur envoie un signal pour demander l'auto-destruction de certains composants (genre mission impossible avec plein de fumée, ça serait marrant).

    A partir de là on peut penser que les voleurs peuvent, par quelques bidouilles réussir à modifier le code en dur émis mais on peut vérifier :
    - si le code est bien valide/attribué ;
    - s'il n'y a pas de doublons ou d'incohérence.

    Après, ce dispositif a un coût, coût que les opérateurs ne sont pas près à payer car cela ne leur rapporte rien tout comme d'autres solutions qu'on pourrait imaginer.
    le 04/08/2013 à 22:14
  • provirus
    Membre confirmé
    Un robot...

    Je préfère la solution élégante d'Hak5 qui utilise le port USB tout simplement: [ame="http://revision3.com/hak5/using-rubber-ducky-tohack-androids"]Hack Any 4-digit Android PIN in 16 hours with a USB Rubber Ducky - Hak5@@AMEPARAM@@http://revision3.com/player-v16514@@AMEPARAM@@v16514[/ame]
    le 10/08/2013 à 20:31
  • fregolo52
    Expert confirmé
    Envoyé par Miistik
    Tout est dit !

    Un code PIN de 4 chiffres, c'est pas très secure.

    Après, il est vivement recommandé d'ajouter un mot de passe de préférence solide une fois le téléphone allumé.

    Mais bon rare sont ceux qui le font.
    Comme beaucoup, j'utilise le schéma, c'est plus simple d'un mot de passe.
    le 01/08/2013 à 17:37
  Poster une réponse