Les schémas de verrouillage … comme dans du beurre ?

Voila un titre 100% breton ! Mais je ne vais pas écrire au sujet du Kouign-amann … loin de là.

Aujourd’hui je vous livre mon avis sur les schémas de déverrouillage des smartphones. En 2020 le journal du net estime qu’android représente 75% des parts de marché des smartphones : https://www.journaldunet.com/ebusiness/internet-mobile/1084127-part-de-marche-des-os-mobiles-en-france/

Rien d’étonnant car ces terminaux sont largement répandus dans les entreprises. Je ne parlerais pas des données qu’on peut y trouver mais c’est souvent une mine d’or ainsi qu’une bonne porte d’entrée pour les malwares et ainsi atteindre le réseau d’une entreprise.

Sur les smartphones il existe plusieurs méthodes de verrouillage/déverrouillage … Toutes ces méthodes ne se valent pas et le principe reste le même à savoir l’utilisation d’une clé secrète.

Voici l’inventaire de ces méthodes :

  • Glissement (pas de sécurité)
  • Modèle (sécurité moyenne)
  • Code PIN (sécurité moyenne)
  • Mot de passe (sécurité élevé)
  • Empreinte digitale (sécurité très relative …)
  • La reconnaissance faciale
  • La backdoor de la NSA

Avant d’évoquer la sécurité des schémas de verrouillage je souhaite rappeler que le code PIN n’est pas limité à 4 chiffres sur les smartphones récents. On peut donc avoir un code PIN plus ou moins forts.

Parlons maintenant du sujet qui nous intéresse … à savoir les modèles (lock patterns).

Ces schémas ont été introduits par Google en 2008 (android). L’idée est louable mais cette méthode souffre du même défaut que les mots de passes, ils sont prédictibles.

4 vulnérabilités de ces schémas :

  1. Les traces de doigts (traces de gras et emprunte thermique)
  2. La prédictibilité
  3. La visibilité (dessin plus facile à mémoriser lors d’un regard indiscret)
  4. Les vulnérabilités logicielles d’android 

1 – Les traces de doigts

Avant de continuer à lire la suite je vous encourage à jeter un œil à l’écran de votre smartphone. Y’a t-il des traces de doigts ? Oui … Peut-être même avez-vous reconnu le dessin vous permettant de déverrouiller votre appareil …

Une expérience simple à réaliser est de faire le test avec vos amis/collègues. Demandez-leur de procéder à une tentative de déverrouillage. Ça fonctionne bien plus souvent qu’on ne pourrait le croire …

Pour mettre en évidence les traces de doigts on peut envisager plusieurs méthodes :

  • Prendre une photo et jouer avec GIMP et la luminosité
  • Utiliser de la poudre magnétique (pour relever les empreintes …)
  • Utiliser une caméra thermique

Cas 1 : Attaques basées sur la video 

Des chercheurs en sécurité informatique de l’université de Bath au Royaume-Uni ont même mis au point une méthode pour retrouver le schéma après avoir filmé l’utilisateur au moment où il déverrouille son smartphone.

Video : https://www.youtube.com/watch?v=UDv9jJti3qc 

Ils ont conçu un algorithme pour reconnaître les mouvements effectués par l’utilisateur.

Plus de 80% des schémas peuvent être cracké s’ils sont filmés à distance de 2.5m de la cible.

Je vous recommande la lecture de leur papier : https://www.lancaster.ac.uk/staff/wangz3/publications/ndss_17.pdf 

Cas 2 : Attaques basées sur les traces de chaleur

Une équipe de l’université de Stuttgart a publié un papier traitant du sujet en 2017. Dans ce papier ils nous expliquent, démonstration à l’appui qu’il est possible de retrouver le schéma quelques secondes (30s) après le déverrouillage grâce à l’emprunte thermique qui reste sur l’appareil.

Pour ce faire l’attaquant doit posséder une caméra thermique assez sensible et être là au bon moment …

https://www.developpez.com/actu/123321/Exploiter-la-chaleur-des-doigts-pour-reveler-le-code-de-verrouillage-de-votre-smartphone-des-chercheurs-y-sont-parvenus/

Le papier en question : https://www.lancaster.ac.uk/staff/wangz3/publications/ndss_17.pdf 

Cas 3 – Attaques basées sur une photo

Une Smudge attack est une méthode pour discerner le modèle de verrouillage d’un appareil à écran tactile tel qu’un téléphone portable ou une tablette.
La méthode a été étudiée par une équipe de chercheurs de l’Université de Pennsylvanie et rapportée au 4e atelier USENIX sur les technologies offensives.

La Smudge attack repose sur la détection des taches huileuses laissées par les doigts de l’utilisateur lors de l’utilisation de l’appareil à l’aide de simples caméras et d’un logiciel de traitement d’image.
Avec un éclairage et des réglages de caméra appropriés, les traces de doigts peuvent être facilement détectées et les taches les plus lourdes peuvent être utilisées pour déduire le modèle de saisie utilisateur le plus fréquent (le mot de passe).
Les chercheurs ont pu casser le mot de passe jusqu’à 68% du temps dans des conditions appropriées.

https://en.wikipedia.org/wiki/Smudge_attack

Papier : https://www.usenix.org/legacy/events/woot10/tech/full_papers/Aviv.pdf

2 – La prédictibilité

Je ne sais pas si ce mot est très français mais vous aurez compris l’idée. Le schémas c’est comme les code PIN … on met souvent quelque chose de simple à retenir et à dessiner. Ce qui rend le secret plus facile à deviner.

Exemple avec un article publié sur le site Kaspersky : https://www.kaspersky.fr/blog/lock-screen-patterns-predictability/4770/

extrait de l’article :

La chercheuse Marte Løge, de l’entreprise Norvégienne Itera Consulting, a demandé à des personnes de choisir des motifs de verrouillage d’écran selon trois cas différents : pour une application pour faire des achats, pour un verrouillage d’écran de smartphone et pour une banque en ligne respectivement, puis elle a analysé les résultats. Ils sont plutôt surprenants.

Les résultats de son expériences ont mis en lumière plusieurs points intéressants :

Le complexité varie en fonction du contenu que l’on souhaite protéger
10% des utilisateurs utilisent un schéma en forme de lettre.

Tous les schémas ne sont pas réalisables par un humain … il y a 390 000 possibilités et seulement 100 000 combinaisons crédibles.

La plupart des schémas relient 5 points maximum. Ce qui limite encore le nombre de combinaisons …
Un schéma de 4 points représente 1600 possibilités alors qu’un code PIN à 4 chiffre représente 9999 combinaisons.

L’article de Kaspersky est très complet, je vous recommande de le lire : https://www.kaspersky.fr/blog/lock-screen-patterns-predictability/4770/

Pour terminer voici les 10 schémas les plus souvent utilisés. Si le votre est dedans vous savez ce qu’il vous reste à faire.

La conclusion de cette article est assez évidente : un mot de passe assez long reste le meilleur moyen de protéger son téléphone. Les schémas de verrouillages et les codes PIN sont à proscrire.

Pour ce qui est de la sécurité biométrique ce n’est pas toujours une bonne solution, mais ça on le verra dans un prochain article.

Bonus :

Sources :

https://www.lancaster.ac.uk/staff/wangz3/publications/ndss_17.pdf

https://www.ieee-security.org/TC/SP2017/papers/226.pdf

https://www.usenix.org/legacy/events/woot10/tech/full_papers/Aviv.pdf

https://www.developpez.com/actu/123321/Exploiter-la-chaleur-des-doigts-pour-reveler-le-code-de-verrouillage-de-votre-smartphone-des-chercheurs-y-sont-parvenus/

https://www.france24.com/fr/20170411-verrouiller-son-smartphone-empreinte-digitale-est-peut-etre-pas-securise-ca

https://resources.infosecinstitute.com/android-forensics-cracking-the-pattern-lock-protection/

https://bkgsi.yonsei.ac.kr/bkgsi/pdf_paper/[2013]TinyLock%20-%20Affordable%20defense%20against%20smudge%20attacks%20on%20smartphone%20pattern%20lock%20systems.pdf

admin