Un chercheur en cybersécurité a découvert une faille, permettant de contourner l’écran de verrouillage d’un smartphone Android. Sans même avoir besoin d’entrer le mot de passe, il est possible d’accéder à tout le contenu du téléphone…
Le système de verrouillage des smartphones est essentiel à leur sécurité. C’est la principale fonctionnalité de cybersécurité pour ces appareils mobiles, et tout leur fonctionnement est basé sur le principe que ce rempart est infranchissable.
Au fil des années, de nouvelles technologies ont vu le jour pour améliorer le fonctionnement du verrouillage. Les codes PIN ont laissé place aux schémas, aux capteurs d’empreintes digitales, à la reconnaissance faciale.
En théorie, il est aujourd’hui impossible de contourner le verrouillage d’un smartphone moderne. Seul le propriétaire d’un téléphone peut y accéder : c’est du moins ce que nous promettent les constructeurs.
Malheureusement, le chercheur en cybersécurité David Schütz a découvert une façon de contourner l’écran de verrouillage d’un smartphone Android. Une découverte totalement fortuite, effectuée par hasard en manipulant ses propres appareils Google Pixel 6 et Pixel 5.
Cette faille permet donc à n’importe qui ayant un accès physique à un smartphone de le déverrouiller. Pire encore : le processus ne requiert que cinq minutes, et se déroule en cinq étapes.
Une découverte accidentelle
Après que son Pixel 6 soit tombé à court de batterie, David Schütz a entré trois fois le mauvais code PIN. Il a donc dû débloquer sa carte SIM en utilisant le fameux code PUK (Personal Unblocking Key).
À sa grande surprise, au moment de déverrouiller la SIM et de choisir un nouveau PIN, l’appareil ne lui a pas demandé le mot de passe de son écran de verrouillage. À la place, seule son empreinte digitale a été exigée.
C’est un dysfonctionnement total, car les appareils Android sont censés réclamer un mot de passe ou un schéma de déverrouillage après un redémarrage. Une mesure de sécurité évidente et indispensable…
Intrigué par l’anomalie, David Schütz a continué à mener ses expériences. En tentant de reproduire le processus sans redémarrer l’appareil, il s’est aperçu qu’il était même possible d’aller directement à l’écran d’accueil en contournant la vérification d’empreinte digitale. La seule condition est que le smartphone ait été déverrouillé au moins une fois par son propriétaire depuis le redémarrage !
Cette vulnérabilité de sécurité affecte tous les appareils tournant sous les versions 10, 11, 12 et 13 d’Android qui n’auraient pas été mis à jour avec le patch de sécurité de novembre 2022.
Un bug au niveau du stack de sécurité
Ce problème de sécurité est en fait causé par une confusion au sein du système. Après un déverrouillage PUK de la SIM, un conflit au niveau des calls de rejet impacte le stack des écrans de sécurité. Le système Android commet alors l’erreur de ne pas demander le mot de passe.
Lorsque Schütz a entré le bon numéro PUK, une fonction « dismiss » a été appelée deux fois. Une première fois par un composant d’arrière-plan censé surveiller l’état de la SIM, une autre par un composant PUK.
Ainsi, outre l’écran de sécurité PUK, l’écran de sécurité suivant dans le stack est également rejeté. Cet écran est celui du mot de passe Android.
L’écran suivant du stack s’affiche directement. Par conséquent s’il n’y a pas d’autre écran de sécurité, l’utilisateur peut directement accéder à l’écran d’accueil.
À l’origine, Schütz a signalé cette faille à Google en juin 2022. Le géant californien a accusé réception et lui a assigné le numéro « CVE-2022-20465 » à cette vulnérabilité. Toutefois, ce n’est que le 7 novembre 2022 qu’un patch a enfin été déployé.
La solution employée par Google est d’inclure un nouveau paramètre pour cette méthode de sécurité utilisée sur chaque call de « dismiss ». Le but est que les calls rejettent des types d’écrans de sécurité spécifique, et non uniquement l’écran suivant du stack.
Même s’il s’agissait d’un duplicata, Schütz a été récompensé à hauteur de 70 000 dollars pour sa découverte. Cette panne de batterie sur son Pixel 6 lui aura été bénéfique !
La cybersécurité mobile : une vaste illusion ?
Rassurez-vous : Google a corrigé le problème avec la dernière mise à jour Android déployée la semaine dernière. Auparavant, la brèche est quand même restée ouverte pendant au moins six mois. Un hacker qui aurait découvert la faille aurait donc eu le temps de se faire plaisir…
Toutefois, l’accès physique à l’appareil est un prérequis important. Peu de cybercriminels auraient l’occasion d’interagir physiquement avec un smartphone, mais des personnes se font voler leurs smartphones tous les jours.
Grâce au système de verrouillage, les victimes de tels larcins sont protégées. Elles ont le temps d’effacer les données de leur smartphone à distance, voire de désactiver l’appareil.
En revanche, si un voleur a la capacité de déverrouiller le téléphone, il peut enfreindre l’intimité de la victime en consultant ses photos, ses messages et même ses applications bancaires. Libre à lui ensuite de prendre le contrôle total du téléphone.
Par ailleurs, une telle faille pourrait être exploitée par les autorités pour mener l’enquête de manière intrusive sur les suspects interpellés. On peut aussi imaginer un cas d’usage par des personnes jalouses pour surveiller leurs conjoints en catimini.
Il suffirait d’utiliser sa propre carte SIM sur l’appareil ciblé, d’entrer le mauvais code PIN, et d’indiquer le numéro PUK de la puce. Sans code de verrouillage Android, rien n’empêche d’accéder à l’intégralité du contenu du smartphone.
Hélas, même si cette grave faille de sécurité a été découverte, il est fort probable qu’il en existe d’autres ou que de nouvelles voient le jour dans le futur. À l’heure où nous écrivons ces lignes, les hackers et les voleurs de téléphones connaissent peut-être des méthodes permettant de contourner le verrouillage d’un Android…
Des méthodes que ni Google ni les chercheurs en cybersécurité n’ont découvertes pour le moment. Les criminels peuvent garder ces astuces pour eux dans le plus grand secret, au même titre que les agences de renseignement ou les autorités.
Il est donc recommandé de prendre des précautions de sécurité additionnelles pour votre smartphone. Logiciel antivirus, mots de passe pour les applications, appareil de backup… pour une sécurité maximale, partez du principe que votre écran de verrouillage n’est pas infaillible ! Pour vous guider, consultez notre dossier complet sur la cybersécurité mobile.
https://www.youtube.com/watch?v=VMSoWnXl14E
- Partager l'article :