Le code PIN est habituellement considéré comme une sécurité suffisante pour barrer l’accès des tiers et autres acteurs malveillants à votre smartphone Android. Jusqu’alors la sécurité du dispositif a été rarement mise en question, et on aurait pensé qu’en 2022, le code PIN était désormais un procédé de sécurité suffisamment éprouvé pour qu’on ne détecte plus de moyens de le contourner dans les dernières versions de Android.
Et pourtant, c’est accidentellement que le chercheur David Schütz explique avoir découvert un bug permettant de le contourner. Suite à la découverte, la base du NIST a créé une nouvelle entrée CVE-2022-20465 dans laquelle le problème est noté comme ayant une gravité médiane. L’exploiter suppose en effet un accès physique au smartphone et des opérations peu discrètes comme le remplacement de la carte SIM.
Un bug avec la gestion Android de la sécurité SIM permet de déverrouiller les smartphones sans code
David Schütz explique : “je me suis rendu compte du bug au bout de 24 heures de voyage. En arrivant à la maison la batterie était à 1%. j’étais au milieu d’une série de SMS lorsque le smartphone s’est éteint. Frustré je me suis alors rué sur le chargeur et ai redémarré le smartphone. Sauf que lorsque le smartphone m’a demandé le code PIN, je n’arrivais plus à m’en souvenir correctement”.
“J’ai rentré trop de fois le mauvais code, et du coup la carte SIM s’est verrouillée. J’avais maintenant besoin du code PUK pour tout débloquer de nouveau. Après avoir retrouvé par miracle l’emballage original de la carte SIM […] j;ai entré le code PUK sur mon Pixel avant de choisir un nouveau code PIN. Une fois la procédure terminée, je me suis retrouvé sur l’écran de verrouillage, mais un détail a attiré mon attention”, se souvient le chercheur.
Il poursuit : “on était sur un redémarrage, et il y avait quand même l’icône signifiant qu’on peut débloquer le smartphone avec l’empreinte digitale. Le smartphone accepte mon empreinte […] puis se bloque sur un message étrange ‘le Pixel démarre…'”. Intrigué, il tente alors de reproduire les mêmes conditions avec plusieurs variantes pour voir s’il peut entrer dans le smartphone sans entrer le moindre code PIN.
Au bout de quelques essais, il se retrouve sur l’écran d’accueil du smartphone déverrouillé, en ayant simplement échangé la carte SIM et récupéré le code PIN en entrant le code PUK. La manipulation fonctionne sur les Pixel 6 et potentiellement sur tous les smartphones Android récents. Heureusement, grâce au signalement du chercheur un patch est déjà disponible – et devrait être proposé par tous les constructeurs de smartphone.
Le patch est le patch Android du 5 novembre 2022. Il est vivement conseillé de l’installer dès qu’il est disponible sur votre appareil – surtout si vous travaillez avec des données ou sur des sujets sensibles.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
