Discussion :

[Cedric Chevalier]

Deux hackers mettent au point un robot capable de casser les codes PIN des smartphones Android
En moins de 24 heures

En termes de sécurité, le mot de passe constitue la première barrière à laquelle doit souvent faire face un pirate informatique voulant s’approprier les informations confidentielles d’un utilisateur.

D'après nos confrères de TheRegister, une récente étude réalisée par la firme de gestion des périphériques mobiles d’entreprise Fiberlink, révèle que 93 % des employés y ayant pris part utilisent un code PIN facilement cassable pour protéger leurs smartphones et tablettes tactiles.

De plus en plus de personnes ont recours aux périphériques mobiles pour effectuer leurs travaux d’entreprise. Cependant sur ceux de l’étude, 6 % n’exigeaient pas de code PIN ou mot de passe, et 4 % seulement offraient la possibilité d’utiliser une combinaison alphanumérique comme mot de passe.
Des mobiles exigeant le code PIN comme mot de passe, 73 % d’entre eux en réclamaient un de 4 à 5 caractères maximum de longueur et 27 % un code PIN de plus de 5 caractères.

Quel est votre âge ? Si la réponse est 30 ans votre code PIN est très probablement 1983. Les codes PIN de 4 caractères sont facilement cassables. Cependant leur faiblesse ne réside pas seulement dans leur longueur, mais aussi dans la façon de laquelle les utilisateurs les choisissent. La plupart d’entre eux préfèrent utiliser ceux dont ils peuvent se souvenir très facilement. C’est ainsi qu’en plus des plus communs, les années de naissance constituent un choix idéal pour les utilisateurs qui veulent se souvenir de leurs mots de passe.

Par ailleurs, deux « White Hat Hackers » de noms Justin Engler et Paul Vines, ont mis au point un robot baptisé R2B2 (Reconfigurable Button Basher), capable de casser les codes PIN de la plupart des smartphones sous Android en moins de 24 heures. Les blueprint ainsi que les logiciels ayant servi à sa conception seront mis à la disposition du public lors de la DEFCON.

Sources : TheRegister, Datagenetics

Et vous ?

Il est recommandé d'avoir un mot de passe fort. Cependant un code PIN facile à mémoriser est pratique. Quelle solution préconiseriez-vous pour allier les exigences de sécurité en terme de mot de passe à la facilité de rétention pour les utilisateurs ?

[Miistik]

Tout est dit !

Un code PIN de 4 chiffres, c'est pas très secure.

Après, il est vivement recommandé d'ajouter un mot de passe de préférence solide une fois le téléphone allumé.

Mais bon rare sont ceux qui le font.

[fregolo52]

Tout est dit !

Un code PIN de 4 chiffres, c'est pas très secure.

Après, il est vivement recommandé d'ajouter un mot de passe de préférence solide une fois le téléphone allumé.

Mais bon rare sont ceux qui le font.

Comme beaucoup, j'utilise le schéma, c'est plus simple d'un mot de passe.

[Vespiras]

Comment fait le robot pour débloquer le téléphone après plusieurs essais infructueux ?

Sauf erreur de ma part, la carte sim se bloque après une nombre lambda d'essais erronés (3 ou 5 essais)

[temoanatini]

Comment fait le robot pour débloquer le téléphone après plusieurs essais infructueux ?

C'est aussi la question que je me pose...

[Max]

#10 6969

[IsiTech]

Les smartphones que j'ai se bloquent après un certain nombre d'essais ratés, puis il faut un code spécial dont j'ai oublié le nom et qui n'est pas défini par l'utilisateur. Forcément en enlevant des sécurités, ça devient trivial...

Cependant je n'ai découvert que la semaine dernière que le code PIN pouvait faire plus de 4 chiffres, j'avais toujours cru que c'était la seule taille possible.

[HelpmeMM]

la pertinence de tout ça ?

je veux dire tu te fait volé ton téléphone, il récupère une liste de numéro et de mail et il en fait quoi ? des guirlandes de noël ?

en règle générale les gens volent pas un téléphone pour les données qu'il contient non ? et si ils le font pour les données c'est clairement pas un code Pin qui va les arrêter, ou tout autre moyen classique


Ah!!! ils peuvent utiliser le téléphone le temps que tu bloques la carte... mouai on en reviens a ce que je disais avant ,en règle général les mec volent pas un téléphone pour la carte sim.

[marts]

Le code PUK.

[Carhiboux]

la pertinence de tout ça ?

je veux dire tu te fait volé ton téléphone, il récupère une liste de numéro et de mail et il en fait quoi ? des guirlandes de noël ?

en règle générale les gens volent pas un téléphone pour les données qu'il contiennent non ? et si ils le font pour les données c'est clairement pas un code Pin qui va les arrêter, ou tout autre moyen classique


Ah!!! ils peuvent utiliser le téléphone le temps que tu bloque la carte... mouai on en reviens a ce que je disais avant ,en règle général les mec volent pas un téléphone pour la carte sim.

La même remarque est valable pour les malwares sur PC.

Dans la plupart des cas, le but n'est pas de voler des données sur le poste infecté, mais bien d'avoir des postes infectés à disposition pour accomplir d'autres buts.

[kiprok]

la pertinence de tout ça ?
je veux dire tu te fait volé ton téléphone, il récupère une liste de numéro et de mail et il en fait quoi ? des guirlandes de noël ?

Euh, moi je serais un peu embêté tout de même car sur mon smartphone il y a pas mal d'applications avec le mot de passe enregistré (appli de ma banque (avec que le login mais bon...) boite mail etc etc).

[Neckara]

Bonjour,

la pertinence de tout ça ?

je veux dire tu te fait volé ton téléphone, il récupère une liste de numéro et de mail et il en fait quoi ? des guirlandes de noël ?

en règle générale les gens volent pas un téléphone pour les données qu'il contient non ? et si ils le font pour les données c'est clairement pas un code Pin qui va les arrêter, ou tout autre moyen classique


Ah!!! ils peuvent utiliser le téléphone le temps que tu bloques la carte... mouai on en reviens a ce que je disais avant ,en règle général les mec volent pas un téléphone pour la carte sim.

Certains sites permettent de récupérer de l'argent (sur un compte paypal par exemple), qu'on peut ensuite transférer vers un compte bancaire, en envoyant des SMS à un numéro spécial.

Pour 3€ de crédit téléphonique, on peut avoir un peu plus de 1,50€. Avec certains forfaits à 50€/mois avec un cumul du forfait restant d'un mois sur l'autre, on peut déjà se faire une petite somme (avant de revendre le portable) et encore... là je ne prend que le cas des forfait "bloqué"...

[MarieKisSlaJoue]

la pertinence de tout ça ?

je veux dire tu te fait volé ton téléphone, il récupère une liste de numéro et de mail et il en fait quoi ? des guirlandes de noël ?

Bah pour quelqu'un de mal intentionné ça peut toujours servir. Et puis moi comme bcp surement, tu as mon téléphone, tu peux te connecter à mes cloud, tous mes mail quasiment, mon fb, mon twiter, mon skype, même mon steam.

Après oui on va dire, faut pas enregistré le mdp sur son téléphone. Mais vla la galère que c'est si à chaque fois je dois rentré mon mdp (qui en plus est assez compliquer) avec un clavier tactile.

Donc ouais voila un téléphone, à part le revendre. Y'a moyen de faire bcp de truc avec.

Par contre je me pose la même question que les autres comment il fait pour contourner le blocage après 3 essais ?

[n5Rzn1D9dC]

Ce qui serait bien, c'est que les mobiles ait un mot de passe qui serve réellement à quelque chose..
Parce que les racailles voleurs de téléphone se marrent bien..
Genre dans un reportage le mec qui sort "wesh moi jm'en bat les c******* jfais un reset je change la sim et je revends".
De nos jours ils ont même appris à se servir de l'outil informatique..

Il faudrait un vrai mot de passe, comme un mot de passe Bios, qui empêcherait le démarrage du systême (et un reset).
Que le téléphone soit réellement inutilisable en cas de vol.

[Bestel74]

ça compte si je fais un robot qui cochettes une porte pas fermée ? Je serais un hacker ?

[Bestel74]

Ce qui serait bien, c'est que les mobiles ait un mot de passe qui serve réellement à quelque chose..
Parce que les racailles voleurs de téléphone se marrent bien..
Genre dans un reportage le mec qui sort "wesh moi jm'en bat les c******* jfais un reset je change la sim et je revends".
De nos jours ils ont même appris à se servir de l'outil informatique..

Il faudrait un vrai mot de passe, comme un mot de passe Bios, qui empêcherait le démarrage du systême (et un reset).
Que le téléphone soit réellement inutilisable en cas de vol.

Que fais-tu du clear CMOS ?

[n5Rzn1D9dC]

Je ne savais pas qu'il y avait un clear cmos sur les téléphones portables.
Enfin c'était pour donner un exemple. Il doit bien y avoir un moyen de mettre un mot de passe partie physique qui empêcherait un reset.
Parce que actuellement, les protections ne servent à rien. Les sims sont jetées à la poubelle, ensuite reset puis revente du mobile.

[Bestel74]

Je ne savais pas qu'il y avait un clear cmos sur les téléphones portables.
Enfin c'était pour donner un exemple. Il doit bien y avoir un moyen de mettre un mot de passe partie physique qui empêcherait un reset.
Parce que actuellement, les protections ne servent à rien. Les sims sont jetées à la poubelle, ensuite reset puis revente du mobile.

Mouhaha Si une protection n'a pas de reset (C-CMOS ou code PUK) elle ne sera jamais mis en oeuvre.... et si tu oublie ton Mot de passe et que le hardware est bloqué ? on fait quoi ?

On l'envoi à l'opérateur qui lui à les outils pour le débloqué ? = fail

[MarieKisSlaJoue]

Je ne savais pas qu'il y avait un clear cmos sur les téléphones portables.
Enfin c'était pour donner un exemple. Il doit bien y avoir un moyen de mettre un mot de passe partie physique qui empêcherait un reset.
Parce que actuellement, les protections ne servent à rien. Les sims sont jetées à la poubelle, ensuite reset puis revente du mobile.

On ne pourra jamais empêcher les appareil de se faire débloquer après le vole. Surtout que ça semble pas préoccupé les opérateur et constructeur. Après tous un portable volé c'est un portable acheté. Maintenant avec toute les info qu'il contienne ça va peut être changer. Mais vu que les gens lambda ne semble pas se soucier de leurs info personnelles, encore une fois j'en doute.

Il reste peut être le système très fermer de Apple qui permet de protéger un peu mieux le téléphone. Mais je me suis jamais posé la question vu que j'en utilise pas.

[n5Rzn1D9dC]

Mouhaha Si une protection n'a pas de reset (C-CMOS ou code PUK) elle ne sera jamais mis en oeuvre.... et si tu oublie ton Mot de passe et que le hardware est bloqué ? on fait quoi ?

On l'envoi à l'opérateur qui lui à les outils pour le débloqué ? = fail

Dans la vie certain posent des questions, d'autres tentent d'y répondre.

On ne pourra jamais empêcher les appareil de se faire débloquer après le vole. Surtout que ça semble pas préoccupé les opérateur et constructeur. Après tous un portable volé c'est un portable acheté. Maintenant avec toute les info qu'il contienne ça va peut être changer. Mais vu que les gens lambda ne semble pas se soucier de leurs info personnelles, encore une fois j'en doute.

Il reste peut être le système très fermer de Apple qui permet de protéger un peu mieux le téléphone. Mais je me suis jamais posé la question vu que j'en utilise pas.

Idem. Le domaine de téléphonie n'est pas le miens.
Mais ce serait bien que les gens qui s'occupent de ça trouvent une réelle solution.
Des gens vivent du vol de mobile, et en vive très correctement.. Simplement en passant leur journée à voler des mobiles dans les rues.
C'est même devenu très élaboré. Ils font tous les bars à la recherche de personnes bourrées pour leur piquer leur mobiles, et ceux-ci mettent beaucoup plus longtemps à s'en apercevoir.

J'aimerais avoir le choix de pouvoir verrouiller le reset de mon mobile par un mot de passe. Que j'oublie ce mot de passe ensuite et que le téléphone soit hs, c'est mon problème (c'est déjà le cas avec le puk).