Accéder au contenu principal

Des scientifiques peuvent deviner un code PIN en analysant les mouvements de votre smartphone

Le code PIN à 4 chiffres est encore une méthode de verrouillage des smartphones très répandue.
Le code PIN à 4 chiffres est encore une méthode de verrouillage des smartphones très répandue. Ervins Strauhmanis/Flickr

Les smartphones sont équipés de multiples capteurs qui analysent chaque mouvement de l'appareil. Entre de mauvaises mains, ces capteurs peuvent aisément révéler votre code PIN et d'autres informations à votre sujet.

PUBLICITÉ

On ne voudrait pas vous rendre paranos, mais la manière dont vous tapotez sur l'écran tactile de votre smartphone peut donner des informations confidentielles à de potentiels hackers, comme votre code d'accès.

VOIR AUSSI : Des scientifiques fans de Wolverine travaillent à la conception d'un écran qui se répare tout seul

Une équipe de scientifiques de l'université de Newcastle, en Angleterre, s'est penchée sur les données accumulées par les capteurs de mouvement de nos téléphones portables. En analysant intelligemment ces informations, ils ont pu deviner ce qu'écrivaient des personnes sur leurs smartphones, notamment les codes PIN à 4 chiffres qui déverrouillent nos smartphones. Or, ces données sont très facilement accessibles à n'importe qui : elles sont en accès libre sur Internet. Une porte béante pour les pirates qui souhaitent en savoir plus sur vous et vous piquer tous vos mots de passe.

Penche ton smartphone, je te dirai ce que tu tapes

Qu'on clique, qu'on scroll, qu'on slide ou qu'on tapote énergiquement son écran, chacun de nos mouvements fait bouger notre smartphone. Les capteurs de mouvements (rotation, translation, hauteur) enregistrent ces petits déplacements. Les scientifiques de Newcastle expliquent, dans un article rendant compte de leurs travaux, qu'en analysant les données enregistrées par ces capteurs ils ont pu en déduire quel endroit de l'écran était touché, durant combien de temps, et donc quelle lettre ou chiffre était tapé sur un clavier tactile.

Ainsi, ils ont pu deviner des codes PIN ou codes d'accès à 4 chiffres de plusieurs smartphones. Leurs résultats (basés sur des calculs compliqués qu'on vous épargne) sont probants : 70 % de réussite au premier essai, et tout simplement 100 % des codes devinés au bout de 5 tentatives.

Trop de capteurs, trop d'informations

Le problème, c'est que si des scientifiques universitaires y arrivent, des hackers mal intentionnés peuvent probablement y arriver aussi.  "Les gens sont bien plus inquiets à propos de l'appareil photo et du GPS qu'à propos des capteurs silencieux", analyse Maryam Mehrnezhad, auteure principale du papier, pour la BBC. "Mais la plupart des smartphones, tablettes et autres wearables sont aujourd'hui équipés de multiples capteurs de ce genre."

"Certains programmes peuvent espionner votre smartphone même si vous l'avez verrouillé"

On se dit alors que les pirates du Web n'ont pas que ça à faire. Cependant, les données de ces capteurs de mouvement sont tout simplement en accès libre sur Internet. L'équipe de chercheurs a réalisé que la plupart des applications mobiles et des sites n'ont pas besoin d'autorisation spécifique pour accéder à ces informations.

"Nous avons découvert sur certains navigateurs que si une page contenant un programme malicieux est ouvert, ce programme peut espionner chacune des autres pages ouvertes et tous les détails personnes que vous y rentrez", explique Maryam Mehrnezhad. "Pire, certains continuent de vous espionner même une fois le téléphone verrouillé, tant que vous n'avez pas complètement fermé la page ou l'application."

L'équipe a transmis ses conclusions aux différents navigateurs et fournisseurs d'appareils tels que smartphones ou tablettes : Google, Apple, Chrome ou Firefox. Aucun d'eux n'a de pare-feu immédiat à proposer, mais ils affirment travailler pour trouver une solution dans les moindres délais.

On aimerait bien vous conseiller d'abandonner les codes secrets pour passer, quand votre smartphone le permet, au Touch ID (ce déverrouillage par empreinte digitale), mais cette solution a aussi ses défauts de sécurité.

Quelque chose à ajouter ? Dites-le en commentaire.

Cette page n'est pas disponible.

Il semblerait qu'il y ait une erreur de notre côté et que cette page ne soit pas disponible. Nos équipes vont se pencher sur la question pour résoudre ce problème au plus tôt.