Qu’est-ce qui est le plus sûr? Utiliser un code PIN numérique pour déverrouiller votre mobile sur Android ou se fier à un motif du doigt?
Une étude récemment publiée suggère que, du moins si une personne à proximité pourrait regarder par-dessus votre épaule, vous seriez plus en sécurité avec un traditionnel code numérique.
Cette recherche menée par l’Académie navale d'Annapolis et l’Université du Maryland, a été publié sous le nom de Towards Baselines for Shoulder Surfing on Mobile Authentication. Elle vise à tester quelle mesure est la plus efficace pour protéger un téléphone intelligent des « shoulder surfing attacks » (qu’on pourrait traduire par attaques en regardant par-dessus l'épaule).
Alors, si vous vous inquiétez que quelqu’un regarde par-dessus votre épaule tandis que vous déverrouillez votre appareil mobile, est-il plus sage d’utiliser un code numérique ou un schéma de déverrouillage? La réponse est assez claire, du moins si l’on se fie à cette étude.
Les observateurs, qui ne peuvent jeter qu’un regard à votre écran alors que vous déverrouillez votre appareil pourront découvrir votre schéma de déverrouillage dans 64,2% des cas (et ces valeurs montent au niveau alarmant de 79,9% avec de multiples observations). La sécurité peut être un peu haussée par le retrait des lignes de tracé (qui passe alors à 35,3% d’un simple regard par-dessus l’épaule et à 52,1% avec de multiples observations).
En comparaison, l’utilisation d’un code PIN à six chiffres diminuent drastiquement les probabilités qu’un attaquant parvienne à déverrouiller votre téléphone intelligent sous Android, avec un taux de succès de 10,8% (ou 26,5% avec de multiples observations).
Dans ces tests, les observateurs parvenaient à découvrir le schéma de déverrouillage des utilisateurs d’Android jusqu’à six pieds de distance, sous différents angles, même après une seule observation.
D’ailleurs, les recherches précédentes avaient démontré que le degré d’aléa des motifs de déverrouillage est à peu près équivalent de celui d’un code PIN à trois chiffres – et j’espère qu’aucun de nous ne se fie à un code à trois chiffres.
Les chercheurs concluent qu’un code PIN comprenant six chiffres ou plus constitue la meilleure protection contre les shoulder surfing attacks, et que si les deux types de schémas de déverrouillage offrent une faible sécurité, faire disparaître les lignes de tracé rend l’appareil plus sûr. La longueur de l’entrée a aussi un impact : un plus long mot de passe offre une plus grande sécurité face à ce type d’attaques. De plus, si l’attaquant peut observer le déverrouillage à plusieurs reprises, ses performances s’améliorent largement.
Sans surprise, les chercheurs confirment que les téléphones aux écrans plus larges se sont avérés moins sécuritaires face aux shoulder surfing attacks, et les chaînes d’authentification plus longues (que ce soit par schéma ou code numérique) rendent la vie des criminels plus dure.
Bien sûr, cela ne signifie pas que *n’importe quel* code numérique puisse être considéré sécuritaire, ou que tous les motifs de déverrouillage offrent le même niveau de sécurité. Des études précédentes ont mis à jour les codes PIN numériques les plus courants et qu’il est clair que les codes du style « 123456 » seront plus faciles à découvrir pour un attaquant qu’un code généré automatiquement.
Tout comme les pirates ont créé des bases de données des mots de passe les plus fréquemment utilisés pour sécuriser des comptes, ils ont aussi appris les codes PIN et les schémas de déverrouillage les plus utilisés pour protéger un appareil mobile.
Il convient de garder à l'esprit que si vous êtes très préoccupés qu’une personne de votre entourage parvienne à découvrir votre code PIN ou votre schéma de déverrouillage par-dessus votre épaule, vous devriez peut-être opter pour la biométrie (par exemple, votre empreinte digitale), afin de protéger votre appareil mobile. Il n’est pas impossible de contourner la protection biométrique, mais elle s’avère plus que suffisante dans bien des cas pour vaincre quiconque, outre un attaquant expert.