Le verrouillage par modèle, est-t-il vraiment sécurisé ?

By | June 27, 2016

Le verrouillage par modèle, est-t-il vraiment sécurisé?

Pensez vous être à l’abri du danger avec le verrouillage par modèle de votre mobile?
Détrompez vous, il y’a de fortes chances que vous soyez deçu après cette lecture.

Sous Android, les types de verrouillages les plus populaires sont: le PIN, les mots de passe et le modèle (pattern lock).
Le verrouillage par modèle a été inventé par Android pour faciliter l’entrée de longs codes PIN en raison de la rapidité avec laquelle les codes PIN courts sont craqués. Dès lors, les dots qui sont sur les modèles ne représentent rien d’autre que des chiffres (1 à 9) comme dans l’image ci dessous.

les nombres derrière les modèles

Bien que cela semble être une bonne solution pour améliorer la sécurité des téléphones, ce type de verrouillage nous expose également à quelques failles:
_ D’abord, le Shoulder Surfing (ou surf d’épaule), technique d’espionnage directe qui consiste à obtenir des informations en regardant par dessus l’épaule de sa victime. Il est très facile de retenir un modèle en observant une personne l’insérer dans son appareil.
_ Ensuite l’impossibilité d’utiliser plus d’une fois un même dot dans la création d’un modèle. Ce qui réduit les options de configuration (élimine la complexité).
_ Puis une tendance générale que nous avons à créer des modèles à partir des coins. Selon des études faites par The Royal Holloway University, la plupart des modèles créés par les utilisateurs commencent dans les coins (1, 3, 7, 9) et continuent vers les nombres voisins (par exemple 1 et ensuite 2, 4, 5).
Dès lors, ces deux dernières failles augmentent les chances de succès d’une attaque par brute force (voir video ci-dessous).

Selon une étude menée par Alexander Lobkovsky, pour un modèle à 4 dots, il n’y a que 1400 combinaisons possibles. Ce nombre chute à 600 si le code PIN est formé avec des nombres adjacents du dot de départ alors qu’avec un code PIN numérique normal, le nombre de combinaisons reste bloqué à 10000 et 65610000 pour un mot de passe!

Vu ces faiblesses, les bonnes pratiques à avoir sont:
_ l’utilisation des mots de passes ou des longs codes PIN à la place des modèles semblent plus sécurisés,
_ la création des modèles à partir du dot du milieu ou à partir des nombres éloignés. Par exemple si vous commencez le modèle par 1, viser les chiffres tels que 6 ou 8 (image ci-dessous) rendra votre modèle moins prévisible,
_ l’utilisation de 6 dots minimum pour créer des modèles et de le changer fréquemment,
_ l’utilisation d’autres méthodes d’authentification si possible, telle que la reconnaissance faciale ou vocale ou encore une empreinte si votre appareil le permet,
_ l’utilisation des images si possible en guise de déverrouillage.
_ faire très attention à son entourage lors de l’insertion d’un modèle.

modèle-optimal

Faîtes donc très attention aux mots de passes que vous choisissez.
Et vous, quel méchanisme de verrouillage utilisez vous ? Le trouvez-vous assez sécurisé? Faîtes nous savoir vos opinions dans les commentaires.

Merci de votre attention,

mdestroy

Sources:

Slate.fr

Etude de Alexander

Makeuseof.com

Vidéo Demo Android Pattern Hacking

Leave a Reply

Your email address will not be published. Required fields are marked *