Des téléphones Android piratés grâce aux traces de doigt

Des chercheurs américains ont mis à l'épreuve le système de verrouillage utilisant une figure dessinée avec le doigt sur l'écran tactile.
Quand on nous parle de piratage, d'un ordinateur ou d'un téléphone mobile, il est souvent question de logiciel, de codage, de déchiffrage de clé et d'autres bidouillages en tout genre. Mais un bon appareil photo peut aussi suffire... C'est en effet avec un appareil photo Nikon, un système d'éclairage et un logiciel de retouche d'images que cinq chercheurs en informatique de l'université de Pennsylvanie, à Philadelphie, ont réussi à déverrouiller des téléphones sous Android 2.2.

Cette version du système d'exploitation mobile de Google permet d'utiliser de manière classique un mot de passe incluant lettres et chiffres, mais propose toujours le système de l'empreinte tactile. Sur une grille présentant neuf points s'affichant à l'écran, l'utilisateur doit en relier au moins quatre avec son doigt. Le parcours décrit sert alors de mot de passe (voir ci-contre, photo de Mike Dent sur Flickr, Creative Commons). Lorsqu'il le reproduit sur la grille, l'utilisateur déverrouille son appareil. Or, le passage des doigts sur l'écran laisse des traces. C'est ce qu'ont exploité les chercheurs américains, comme ils le décrivent dans un article de dix pages publié en ligne (en PDF et en anglais).
Pour leurs expériences, ils se sont servi de téléphones HTC G1 et HTC Nexus One. La méthode consiste d'abord à éclairer l'écran des appareils, à l'aide de projecteurs, dont un Kino-Flo fluorescent (de ce genre-là), sous une toile en forme de tente Westcott, qui permet des éclairages sans ombre et sans reflet. Idéal donc pour photographier un écran. L'appareil photo Nikon était lui-même assez perfectionné, mais les chercheurs précisent que leurs tests peuvent être reproduits avec un « équipement bien moins élaboré (ou moins cher) et dans des conditions moins sous contrôle ».

Les photos des écrans ont été prises sous divers angles et avec différentes intensités de lumière. Au total, 188 clichés ont été pris. Ils ont ensuite été passés dans un logiciel de traitement d'images.
Résultat ? Dans 96 % des cas, les chercheurs ont pu retrouver partiellement le tracé du doigt permettant d'ouvrir le téléphone, et dans 68 % des cas, ils ont pu tout retrouver. Ils ont aussi essayé de prendre en compte le frottement des vêtements sur l'écran, lorsqu'un utilisateur range l'appareil dans sa poche après utilisation. Ce phénomène n'efface pas assez les traces de doigts et donc la clé a pu être reconstituée à chaque fois.
La leçon de tout cela ? Un individu mal intentionné (et équipé des bons outils) peut sans trop de problème ouvrir un téléphone Android verrouillé du bout du doigt. Ce qui ne veut pas dire que ces appareils sont plus vulnérables que les autres : ils peuvent toujours être verrouillés par mot de passe alphanumérique. Ce qui reste, de fait, la méthode la plus sûre. Pour un téléphone Android comme pour tout autre appareil à écran tactile.
-
nanoucka
et si on connait plus son pseudo ou son email et son mot de pass comment fais t il
-
-
Tigzy
Parce que bon dévérouiller c'est super, mais après l'écran tactile il sert plus à rien? Le mec il surf sur le net avec la pensée?
Pathétique ces chercheurs qui croient avoir trouvé un truc génial, mais non. -
aideinfo.com
Cette méthode n'est pas utilisable lorsqu'on passe plusieurs fois par la même partie de la grille. Il faut aussi faire un tracé plus long que le minimum.
-
TobbyRandyBob
à leur super matos: on penche un peu l'écran avec une source de lumière adaptée... sont vraiment chercheurs ces gens ? si oui ils ont trouvé un joli prétexte pour s'acheter un chouette appareil photo pour les vacances, pas plus.
-
Kalomos
Alors je déverrouille en regardant l'écran, par la seule force de mon esprit je me déplace sur l'écran... plus de trace de doigts et les pirates sont bien ni....
C'est ça la puissance intellectuelle, bac +2 les enfants ! -
reactif
J'ai un android 2.2 ce qui manque a l'article et la démonstration c'est que d'un on peux choisir un mode de verrou par code pin.
Et plus gros, ca ne marche que si l'on dévérrouille puis verrouille le tel sans le retoucher pour que ca marche, car desolé moi vu comment je fait glisser l'ecran ou clique dessus ca ne se voit plus.
Et de plus, pour ce qui est de la protection enc as de perte ok, en cas de vole je suis navré de vous apprendre que les voleurs, souvent vous choppent au couteau ca m'est arrivé et vous demande le code CB code tel etc etc... alors bon voilà quoi
Démontrer cela pour démontré l'exploit ok, apres pour montré que rien n'est jamais fiable ? Qui ne le savait pas ?
Des allemand ont bine demontré comment on peux leurré les plus performant système de biométrie d'empreinte avec une simple photo et du scotch ! Alors bon ! MDR (testé aussi en entreprise avec autorisation du responsable et j'ai recup son empreinte sur la vitre du support du lecteur d'empreinte et puis (methode non expliqué ici) j'ai pu ouvrir la porte des serveurs !)
Voilà sinon au moins avec Android, on a deux mode de verrou soit code pin soit dessin c'est deja bien d'avoir un choix ! -
tyranausor
C'est vrai qu'aucun outil, créé par l'homme, n'est infaillible! Tous les tests nous montre qu'un téléphone ou autre bidule informatique peu être piraté de quelques manières que ce soit, il n'empêche que ces tests sont peut-être inutiles pour certains, mais utiles pour d'autres!
-
picoblo47
j'ai un phone sous android et j'utilise le modèle de dévérouillage présenté dans le sujet et au bout quelque tentative (je sais plus combien), le portable s'est bloqué fallait que j'entre mon adresse gmail et mon passe pour dévérouiller. c'est un verrouillage clavier(écran tactile)c pas vraiment une sécurité comme le code pin ou le code du téléphone.
-
BeWog
Il est vrai que ce n'est pas une grosse sécurité mais c'est suffisant ainsi. Et puis c'est peut-être mieux que les nombreuses personnes qui mettent leur date de naissance !!
Mais je suis étonné, normalement le système finit par se verrouiller et le mot de passe du compte principal est demandé ...
Votre opinion