Quel type de personne êtes-vous ? Êtes-vous un artiste, un peintre par exemple ? Un accro des cartes de crédit ou juste un fou des chiffres ? Un intellectuel, ou même un génie ? Un influenceur, fier comme un paon ou juste sûr de vous ? Un mordu de la sécurité ou suffisamment vigilant ? Ou bien ignorez-vous tout de la sécurité et de la protection des données ? Supposons un instant que la façon dont vous déverrouillez votre smartphone révèle le type de personne que vous êtes.
Il existe de nombreux moyens de déverrouiller votre smartphone : schéma de verrouillage, code PIN, mot de passe, empreinte digitale biométrique ou reconnaissance faciale. Certains sont plus sûrs que d’autres, mais tous valent mieux que rien. Examinons certains d’entre eux.
Schéma de verrouillage : Tracer votre schéma de verrouillage préféré sur l’écran de votre smartphone est le choix évident pour les téléphones Android. Mais comme il s'agit de tracer une ligne continue, le nombre de possibilités réelles est assez limité, se résumant au final à une vingtaine de schémas les plus utilisés. Si vous y reconnaissez le vôtre, il serait peut-être temps de choisir un schéma plus sûr. Dans tous les cas, vos gestes peuvent être espionnés et reproduits une fois que votre téléphone a été volé.
Il existe une menace plus sérieuse encore, même si elle n’existe probablement encore qu’à un niveau expérimental. Il s’agit d’un petit système sonar de base, associant un haut-parleur local pour émettre des signaux acoustiques inaudibles pour l'homme et un microphone pour enregistrer leur retour, qui a permis aux chercheurs d'utiliser « le signal d'écho [...] pour analyser l'interaction avec l'appareil », c'est-à-dire la manière dont votre doigt balaye l'écran et interagit avec lui. Les chercheurs ont montré comment ce sonar pouvait contribuer à identifier le schéma utilisé pour déverrouiller un téléphone Android, réduisant de 70 % le nombre d'essais que devrait effectuer un pirate informatique. Et il ne s’agit là que de leur preuve de concept... Voyons si les codes PIN et les mots de passe sont plus sûrs.
Code PIN versus mot de passe : Un exemple typique en matière de sécurité informatique est lié à la complexité du mot de passe. Les codes PIN à quatre chiffres sont dépassés, et même six chiffres ne suffisent plus vraiment. Il est difficile de deviner le code PIN de votre smartphone ou de le forcer, étant donné que votre smartphone est en principe doté d'une procédure de verrouillage n'autorisant qu'un petit nombre d'essais avant d'introduire des délais de mise en veille ou même d'effacer toutes ses données (!). Votre téléphone peut toutefois être facilement espionné afin d’obtenir le code PIN et le reproduire une fois que votre téléphone a été volé*. Ou bien masquez-vous l’écran de votre smartphone lorsque vous tapez le code PIN, comme vous le faites lorsque vous utilisez votre carte bancaire à un guichet automatique ? Bien entendu, un mot de passe long et complexe, voire une phrase de passe (à moins que vous n'utilisiez l'un des dix mots de passe les plus utilisés), constitue un meilleur choix. Il est vrai que saisir des mots de passe aussi longs et complexes peut s'avérer fastidieux. Restent les données biométriques.
Données biométriques : Utiliser un capteur d'empreintes digitales ou une capture du visage pour déverrouiller son téléphone reste notre moyen de protection préféré. Les fabricants de votre smartphone (et de votre ordinateur portable) se sont donné beaucoup de mal pour s'assurer que votre signature biométrique ne puisse pas être contrefaite au moyen de votre empreinte digitale transférée sur un morceau de ruban adhésif, en utilisant une photo de votre visage, ou en vous photographiant alors que vous dormez. Ils ont également veillé à ce que vos informations biométriques soient stockées de manière appropriée et sécurisée à l'aide d'une puce matérielle spéciale (TPM : Trusted Platform Module – Module de plateforme de confiance). Pourtant, des pirates ont réussi à passer outre l'authentification par empreinte digitale protégeant des appareils Android et Windows. La reconnaissance faciale reste donc notre moyen préféré pour protéger l'accès à son smartphone et à toutes les données personnelles (et professionnelles !) qui y sont stockées.
*En fait, le dernier correctif de sécurité d'Apple a corrigé certains de ces problèmes.
_______
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.