Deux hackers mettent au point un robot capable de casser les codes PIN des smartphones Android
En moins de 24 heures
Le 2013-08-01 14:42:09, par Cedric Chevalier, Expert éminent sénior
En termes de sécurité, le mot de passe constitue la première barrière à laquelle doit souvent faire face un pirate informatique voulant s’approprier les informations confidentielles d’un utilisateur.
D'après nos confrères de TheRegister, une récente étude réalisée par la firme de gestion des périphériques mobiles d’entreprise Fiberlink, révèle que 93 % des employés y ayant pris part utilisent un code PIN facilement cassable pour protéger leurs smartphones et tablettes tactiles.
De plus en plus de personnes ont recours aux périphériques mobiles pour effectuer leurs travaux d’entreprise. Cependant sur ceux de l’étude, 6 % n’exigeaient pas de code PIN ou mot de passe, et 4 % seulement offraient la possibilité d’utiliser une combinaison alphanumérique comme mot de passe.
Des mobiles exigeant le code PIN comme mot de passe, 73 % d’entre eux en réclamaient un de 4 à 5 caractères maximum de longueur et 27 % un code PIN de plus de 5 caractères.
Quel est votre âge ? Si la réponse est 30 ans votre code PIN est très probablement 1983. Les codes PIN de 4 caractères sont facilement cassables. Cependant leur faiblesse ne réside pas seulement dans leur longueur, mais aussi dans la façon de laquelle les utilisateurs les choisissent. La plupart d’entre eux préfèrent utiliser ceux dont ils peuvent se souvenir très facilement. C’est ainsi qu’en plus des plus communs, les années de naissance constituent un choix idéal pour les utilisateurs qui veulent se souvenir de leurs mots de passe.
Par ailleurs, deux « White Hat Hackers » de noms Justin Engler et Paul Vines, ont mis au point un robot baptisé R2B2 (Reconfigurable Button Basher), capable de casser les codes PIN de la plupart des smartphones sous Android en moins de 24 heures. Les blueprint ainsi que les logiciels ayant servi à sa conception seront mis à la disposition du public lors de la DEFCON.
Sources : TheRegister, Datagenetics
Et vous ?
Il est recommandé d'avoir un mot de passe fort. Cependant un code PIN facile à mémoriser est pratique. Quelle solution préconiseriez-vous pour allier les exigences de sécurité en terme de mot de passe à la facilité de rétention pour les utilisateurs ?
D'après nos confrères de TheRegister, une récente étude réalisée par la firme de gestion des périphériques mobiles d’entreprise Fiberlink, révèle que 93 % des employés y ayant pris part utilisent un code PIN facilement cassable pour protéger leurs smartphones et tablettes tactiles.
De plus en plus de personnes ont recours aux périphériques mobiles pour effectuer leurs travaux d’entreprise. Cependant sur ceux de l’étude, 6 % n’exigeaient pas de code PIN ou mot de passe, et 4 % seulement offraient la possibilité d’utiliser une combinaison alphanumérique comme mot de passe.
Des mobiles exigeant le code PIN comme mot de passe, 73 % d’entre eux en réclamaient un de 4 à 5 caractères maximum de longueur et 27 % un code PIN de plus de 5 caractères.
Quel est votre âge ? Si la réponse est 30 ans votre code PIN est très probablement 1983. Les codes PIN de 4 caractères sont facilement cassables. Cependant leur faiblesse ne réside pas seulement dans leur longueur, mais aussi dans la façon de laquelle les utilisateurs les choisissent. La plupart d’entre eux préfèrent utiliser ceux dont ils peuvent se souvenir très facilement. C’est ainsi qu’en plus des plus communs, les années de naissance constituent un choix idéal pour les utilisateurs qui veulent se souvenir de leurs mots de passe.
Par ailleurs, deux « White Hat Hackers » de noms Justin Engler et Paul Vines, ont mis au point un robot baptisé R2B2 (Reconfigurable Button Basher), capable de casser les codes PIN de la plupart des smartphones sous Android en moins de 24 heures. Les blueprint ainsi que les logiciels ayant servi à sa conception seront mis à la disposition du public lors de la DEFCON.
Sources : TheRegister, Datagenetics
Et vous ?
-
MaxExpert éminent sénior#10 6969le 02/08/2013 à 14:46
-
VespirasMembre actifComment fait le robot pour débloquer le téléphone après plusieurs essais infructueux ?
Sauf erreur de ma part, la carte sim se bloque après une nombre lambda d'essais erronés (3 ou 5 essais)le 01/08/2013 à 18:11 -
MiistikMembre émériteTout est dit !
Un code PIN de 4 chiffres, c'est pas très secure.
Après, il est vivement recommandé d'ajouter un mot de passe de préférence solide une fois le téléphone allumé.
Mais bon rare sont ceux qui le font.le 01/08/2013 à 14:53 -
CarhibouxExpert éminent séniorLa même remarque est valable pour les malwares sur PC.
Dans la plupart des cas, le but n'est pas de voler des données sur le poste infecté, mais bien d'avoir des postes infectés à disposition pour accomplir d'autres buts.le 02/08/2013 à 15:35 -
salve34Membre régulier4b) Le serveur envoie un signal pour demander l'auto-destruction de certains composants (genre mission impossible avec plein de fumée, ça serait marrant).le 06/08/2013 à 12:39
-
NeckaraInactifBonjour,
Certains sites permettent de récupérer de l'argent (sur un compte paypal par exemple), qu'on peut ensuite transférer vers un compte bancaire, en envoyant des SMS à un numéro spécial.
Pour 3€ de crédit téléphonique, on peut avoir un peu plus de 1,50€. Avec certains forfaits à 50€/mois avec un cumul du forfait restant d'un mois sur l'autre, on peut déjà se faire une petite somme (avant de revendre le portable) et encore... là je ne prend que le cas des forfait "bloqué"...le 02/08/2013 à 15:47 -
n5Rzn1D9dCMembre avertiJe ne savais pas qu'il y avait un clear cmos sur les téléphones portables.
Enfin c'était pour donner un exemple. Il doit bien y avoir un moyen de mettre un mot de passe partie physique qui empêcherait un reset.
Parce que actuellement, les protections ne servent à rien. Les sims sont jetées à la poubelle, ensuite reset puis revente du mobile.le 04/08/2013 à 18:22 -
NeckaraInactif
Code : 1
2
3Mouhaha Si une protection n'a pas de reset (C-CMOS ou code PUK) elle ne sera jamais mis en oeuvre.... et si tu oublie ton Mot de passe et que le hardware est bloqué ? on fait quoi ? On l'envoi à l'opérateur qui lui à les outils pour le débloqué ? = fail
1) On met sur des composants un code en dur
2) En cas de vols, on avertit son opérateur
3) Le téléphone transmet, dès qu'il se connecte au serveur son code en dur
4a) Le serveur refuse de répondre aux demandes du téléphone
4b) Le serveur envoie un signal pour demander l'auto-destruction de certains composants (genre mission impossible avec plein de fumée, ça serait marrant).
A partir de là on peut penser que les voleurs peuvent, par quelques bidouilles réussir à modifier le code en dur émis mais on peut vérifier :
- si le code est bien valide/attribué ;
- s'il n'y a pas de doublons ou d'incohérence.
Après, ce dispositif a un coût, coût que les opérateurs ne sont pas près à payer car cela ne leur rapporte rien tout comme d'autres solutions qu'on pourrait imaginer.le 04/08/2013 à 22:14 -
provirusMembre confirméUn robot...
Je préfère la solution élégante d'Hak5 qui utilise le port USB tout simplement: [ame="http://revision3.com/hak5/using-rubber-ducky-tohack-androids"]Hack Any 4-digit Android PIN in 16 hours with a USB Rubber Ducky - Hak5@@AMEPARAM@@http://revision3.com/player-v16514@@AMEPARAM@@v16514[/ame]le 10/08/2013 à 20:31 -
fregolo52Expert confirméle 01/08/2013 à 17:37