L’écran de verrouillage de votre téléphone est censé être une protection contre le monde (et les déverrouillages accidentels dans votre poche). Lorsqu’il est verrouillé, votre téléphone ne peut pas être ouvert sans le mot de passe, une analyse faciale ou une empreinte digitale. Si vous perdez votre téléphone ou si quelqu’un vous le prend, vous pouvez être assuré qu’il ne pourra rien en faire. Sauf que c’est désormais possible, grâce à une vulnérabilité récemment découverte permettant à quiconque de contourner l’écran de verrouillage d’un appareil Android.
Tel que rapporté par Bleeping Computer, le chercheur en cybersécurité David Schütz a découvert un moyen de déverrouiller à la fois un Google Pixel 6 et un Pixel 5 sans avoir besoin de connaître le mot de passe. Cela s’est produit après que son Pixel 6 soit tombé en panne de charge et après qu’il ait mal saisi son code PIN à trois reprises. Sa carte SIM étant alors verrouillée, il saisit le PUK (Personal Unblocking Key) pour la restaurer.
Cependant, une fois la SIM récupérée, le Pixel lui a demandé de scanner son empreinte digitale. Cela ne devrait pas arriver, car les Pixels (ainsi que la plupart des téléphones) nécessitent que vous saisissiez le mot de passe pour pouvoir les déverrouiller après un redémarrage. Vous ne devriez pas avoir la possibilité d’utiliser votre empreinte digitale pour déverrouiller le téléphone avant un déverrouillage réussi avec le mot de passe.
À partir de là, Schütz s’est rendu compte qu’il y avait ici une faille de sécurité légitime. Si un attaquant insère sa propre carte SIM dans l’Android d’une cible, puis saisit trois fois le mauvais code PIN SIM, il peut saisir le PUK de sa SIM pour pouvoir créer un nouveau code PIN SIM. Une fois cela fait, ils contournent complètement l’écran de verrouillage et accèdent au téléphone. Vous pouvez regarder l’attaque hypothétique se dérouler dans la vidéo ci-dessous :
Schütz a attiré l’attention de Google sur cette faille en juin de cette année, mais il a fallu cinq mois à l’entreprise pour enfin proposer un correctif. Pourtant c’est bien là est un correctif : on ne sait pas exactement combien de temps cette vulnérabilité a circulé, mettant potentiellement en danger des millions d’Android.
Comment corriger la dernière faille de sécurité de l’écran de verrouillage sur Android
Si vous possédez un téléphone fonctionnant sous Android 10, 11, 12 ou 13, vous devez installer la mise à jour de sécurité de novembre 2022 afin de corriger cette vulnérabilité. Si vous avez déjà installé le patch, vous êtes prêt à partir ! Mais sinon, installez-le dès que possible.
Pour installer un correctif de sécurité sur Android, rendez-vous sur Paramètres > Système > Mise à jour du systèmepuis autorisez le système d’exploitation à rechercher une nouvelle mise à jour. S’il y en a un disponible, vous pouvez le télécharger et l’installer à partir d’ici. Vous pouvez également vérifier les mises à jour de sécurité depuis Paramètres > Sécurité > Vérification de la sécurité Google.