Vous avez probablement vu une liste des 25 mots de passe les plus surutilisés – comprenant des classiques tels que l’infâme « password ». Qu’en est-il des codes NIP de déverrouillage de vos téléphones? Ces codes que nous choisissons pour empêcher les cybercriminels d'accéder à nos téléphones et donc, à nos comptes les plus importants, sont-ils aussi sécuritaires et uniques qu’on l’espère?
Les gens ont tendance à verrouiller leur téléphone avec un code, mais que se passerait-il si quelqu'un connaissait ce code ou parvenait à le deviner? Peut-être qu'ils pourraient le deviner d'après les NIP fréquemment utilisés? Pourraient-ils alors lire vos emails, envoyer une WhatsApp ou voir votre panier Amazon?
Une étude récente du SANS Institute a révélé que les 20 codes NIP les plus courants pour les téléphones portables étaient (et non en ordre) :
0000
1004
1010
1111
1122
1212
1234
1313
2000
2001
2222
4444
3333
4321
5555
6666
6969
7777
8888
9999
Les chercheurs du SANS Institute ont constaté que 26 % de tous les téléphones sont piratés à l'aide de ces codes, ce qui est étonnant. Il y a donc de fortes chances qu'en cas de vol ou de perte de votre téléphone, des criminels puissent s'introduire dans votre téléphone dès les premières tentatives - même sans rien savoir de vous.
Alors pourquoi tant de gens – dont Kanye West – continuent d’utiliser ces simples codes? C’est une bonne question, mais plus important encore : Quand est la dernière fois que vous avez modifié le code de déverrouillage de votre téléphone?
La plupart des gens ont maintenant un téléphone intelligent muni d'un verrou depuis une dizaine d'années. Il faut quand même souligner qu'en 2007, lorsque qu’Apple a sorti le premier iPhone d'Apple, nous étions plus intéressés par ses fonctionnalités que par les vecteurs d'attaque.
Les lecteurs d'empreintes digitales sont apparus quelques années plus tard. Alors, en 2007, alors que nous devions entrer notre code de déverrouillage 50, voir 1000 fois par jour, on peut comprendre l’attrait des gens pour les NIP permettant d’accéder à leur téléphone rapidement et facilement.
Le problème est que, même avec l'introduction de codes plus longs, Face ID ou Touch ID, les gens changent rarement leur NIP et se contentent d’utiliser un code qu'ils reprennent sur chaque nouvel appareil - même si nous déverrouillons maintenant rarement nos téléphones avec un NIP.
Une autre méthode que les gens utilisent pour se rappeler leurs NIP est d'utiliser des chiffres qui signifient quelque chose pour eux. Cependant, les acteurs de menace profitent de la tendance que nous avons à penser que « ça n’arrive qu’aux autres. » Ainsi, que se passe-t-il quand la personne qui tente de rentrer dans votre téléphone en sait un peu plus sur vous? Lorsque les téléphones ont un code à 4 chiffres, les gens utilisent souvent une année mémorable; lorsqu'un code à 6 chiffres est recommandé, les gens entrent souvent une date importante pour déverrouiller leur téléphone.
Voilà un moyen extrêmement dangereux de sécuriser un appareil si précieux et permet à n'importe quel cybercriminel possédant des compétences de recherche en open-source de dénicher et tester les codes les plus probables pour déverrouiller votre téléphone.
Le contexte est important
Permettez-moi de donner un peu de contexte afin d’illustrer à quel point c’est facile. J'ai récemment donné une conférence au cours d’un événement - ironiquement, sur la façon de pirater une entreprise - et j'ai commencé à y discuter de la façon dont les cybercriminels peuvent utiliser l’ingénierie sociale pour connaître les mots de passe des gens. À ce moment précis, un type au premier rang a pris son téléphone dans sa poche et a entré un NIP pour le déverrouiller. J'ai remarqué qu'il avait entré un code à 6 chiffres et j'ai pu voir les deux derniers chiffres, qui étaient 1 et 4.
Pour la plupart des gens, cela peut sembler n'être que deux nombres aléatoires, mais si j'ajoute le contexte à ces nombres, je pourrai peut-être calculer les quatre autres. J'ai décidé de m’éloigner de mon script, en demandant à cette personne faire du hors-piste, alors j'ai demandé son nom à ce participant. Il m’a répondu avec plaisir. J’ai alors cherché son nom sur Facebook. Sous l’onglet « À propos », j'ai trouvé qu'il était marié; mais à part son nom, il n'y avait pas grand-chose d'autre à voir. J'ai cliqué sur le profil de sa femme et je suis allé sur sa page « À propos ».
J’ai alors pu constater que cette dernière laissait beaucoup de renseignements personnels à la vue du public. Mais d’abord et avant tout, la date à laquelle elle s'est mariée, soit le 1er septembre, oui vous l'avez deviné, 2014. J'ai alors poliment demandé au monsieur si je pouvais tenir son téléphone et essayer d'y entrer. Il a accepté, mais pas avec gaieté de peur, que je fasse ce test. J’ai donc entré « 010914 » dans son téléphone et bingo! J’étais entré. Je venais donc de faire une démonstration en direct de ce qui peut arriver dans la vie réelle. À ce moment, la moitié de l'auditoire a sorti son téléphone et en demandant le raccourci pour changer le code NIP de leur téléphone.
Qu'en est-il de Face ID ou de Touch ID? Ces technologies devraient nous protéger entièrement des agresseurs, n’est-ce pas? Eh bien, la réponse courte est non. Beaucoup de gens pensent qu'une fois qu'ils ont activé le lecteur d'empreintes digitales ou la reconnaissance faciale sur leur appareil, ils n'auront plus besoin de se préoccuper autant de la sécurité de leur NIP. Rappelez-vous qu'il y a toujours un moyen d’utiliser ce code par défaut pour entrer dans votre téléphone. Il est probablement beaucoup plus facile pour un pirate informatique de trouver ce NIP que de vous couper le doigt ou de répliquer votre visage pour ouvrir votre appareil. (Ceci dit, une fois, j'ai utilisé un doigt mort pour accéder à un téléphone, mais c’est une autre histoire. J’y reviendrai peut-être dans un autre article de blogue!)
Quand je travaillais à l'Unité de criminalistique numérique de la police, nous disposions d’un outil merveilleux permettant de rentrer dans les iPhones d'Apple. (Vous pouvez voir cette même machine en action ici). Notre déchiffreur de code testait tous les codes à 4 chiffres par incréments de « 0000 » à « 9999 » sans verrouiller ou réinitialiser les téléphones. Cela prenait 4 secondes par tentative, donc - idéalement, pour gagner du temps - nous voulions commencer le processus sur un numéro proche du NIP recherché.
Nous avions l'habitude de démarrer l'outil en utilisant « 1970 » et, dans la majorité des cas, nous avions accès aux appareils avant d’atteindre « 2010 ». C'est parce que tant de gens tombent dans le piège d'utiliser leur date de naissance, l'année du mariage ou l'année où leur enfant est né, pour s’assurer d’avoir un code inoubliable.
Comment demeurer en sécurité
La meilleure contre-mesure à adopter est de commencer à utiliser un long code alphanumérique unique pour déverrouiller votre téléphone. Par la suite, puisque l’usage d’un tel code de passe peut exiger plus de temps pour le déverrouillage, activez Touch ID ou Face ID pour un accès plus rapide.
Il convient également de mentionner ici que vous devriez également être conscient de votre environnement et de qui pourrait surveiller vos mouvements. Dans les transports publics, j'ai trop souvent vu des gens entrer des codes PIN, des mots de passe ou même crier au téléphone les détails de leur carte de crédit, y compris le numéro CVV à trois chiffres figurant au dos de leur carte!
Enfin, après avoir sauvegardé votre appareil, vous devriez ajouter une couche de sécurité supplémentaire en activant la fonctionnalité « Trouver mon iPhone » sur iOS, ou « Trouver mon appareil » sur Android. Celle-ci vous permettra d'effacer votre téléphone à distance en cas de vol (des fonctions antivols et de nettoyage à distance sont également incluses dans les solutions de sécurité mobiles réputées). Même si vous ne deviez jamais retrouver cet appareil, vous saurez au moins que les criminels ne seront pas en mesure d'entrer dans votre appareil et de consulter vos données et informations personnelles.