Nous connaissons tous les dangers. Le smartphone est le portail des achats en ligne, de nos comptes bancaires et de toutes sortes de profils de réseaux sociaux. Pour beaucoup, c'est notre identité numérique.

Nous savons ce que nous devons faire: assurez-vous qu'il a un code de verrouillage et ne le partagez jamais avec personne.

Lire la suite: MyKronoz ZeTime Petite

Mais si même cela ne suffisait pas?

Des chercheurs de l'Université de Cambridge ont découvert un moyen d'extraire le code PIN d'un téléphone Android en utilisant une application malveillante pour capturer des données via la caméra et le microphone du smartphone. Cette technique a fait les gros titres vers la fin de 2013, car elle était capable d'identifier correctement un code PIN à quatre chiffres à partir d'un jeu de tests dans 30% des cas après deux tentatives et de 50% après cinq tentatives..

Manœuvre de flanquement

Votre NIP est-il vraiment si sûr??

Cette technique est connue sous le nom d’attaque par "canal latéral" et elle est remarquable car elle contourne la séparation supposément sécurisée entre le système Android et la zone de confiance sur votre smartphone..

Les attaques par canaux latéraux utilisent des capteurs tels que le gyroscope et l'accéléromètre, ou du matériel tel que le microphone et la caméra, afin de capturer des données. Ceci est ensuite téléchargé sur un serveur distant où un algorithme est utilisé pour prendre une supposition éclairée sur votre code PIN.

La partie "de confiance" de votre téléphone est distincte du système d'exploitation principal et est conçue pour isoler les applications sensibles, telles que les applications bancaires. Cela fait partie du mouvement visant à conserver les données sensibles sur du matériel distinct, des entreprises comme ARM inventant la technologie TrustZone et GlobalPlatform (GP) créant des normes pour un environnement d'exécution sécurisé (TEE) afin de garantir sa sécurité..

Cependant, cette approche ne protège pas contre les attaques par canaux latéraux. Laurent Simon, l'un des auteurs de PIN Skimmer: Inférer les PIN via l'appareil photo et le microphone, nous a confié: "Il n'est pas évident que l'accéléromètre ou le microphone puissent être utilisés pour divulguer des informations. L'objectif est de sécuriser l'écran."

Comment ça marche?

Cette attaque implique l'utilisation de l'application PIN Skimmer, un programme malveillant déguisé en jeu, pour enregistrer les utilisateurs interagissant avec l'écran tactile..

La caméra frontale peut être utilisée pour capturer une photo de l'utilisateur et déterminer son apparence lorsque vous appuyez sur un point spécifique de l'écran. Ces données peuvent ensuite être utilisées pour créer un modèle et analyser une vidéo les saisissant leur code PIN.

Ceci est encore renforcé en utilisant le microphone pour capturer l'audio du retour de vibration haptique lorsque l'utilisateur appuie sur l'écran à des endroits spécifiques.

En toute justice pour les développeurs de téléphones, les victimes doivent télécharger l'application et lui accorder l'autorisation d'accéder au microphone, à la caméra et à Internet dans le système Android..

Une fois que l'attaquant a identifié un code confidentiel probable, il a toujours besoin du smartphone physiquement avant de pouvoir l'essayer. Comme Simon l'a expliqué: "Dans ce sens, c'est limité, vous ne pouvez pas tout faire à distance; vous devez collaborer [par inadvertance] avec des voleurs."

Avant de rejeter cette idée comme si cela ne vous arriverait jamais, considérez que les logiciels malveillants peuvent également être utilisés pour suivre votre position et que le nombre de vols de smartphones est à son plus haut niveau. Le Met a révélé qu'en 2013, près de 100 000 téléphones portables avaient été volés à Londres seulement.

Comment pouvez-vous vous protéger?

Marc Rogers, chercheur principal en sécurité chez Lookout, spécialiste de la sécurité mobile, nous a déclaré: "La méthode la plus courante et la plus courante pour compromettre votre smartphone consiste à installer quelque chose d'un magasin tiers qui enverra votre numéro de téléphone, votre liste de contacts, vos messages SMS. et permettre à quelqu'un de contrôler à distance le téléphone.

"Nous avons mené une étude et nous avons constaté aux États-Unis et au Royaume-Uni que la probabilité de rencontrer quelque chose de désagréable - un lien de phishing, un adware ou un logiciel malveillant - est d'environ 2% à 3%. Votre probabilité de rencontrer un logiciel malveillant est d'environ 0,5%."

Ces chiffres sont basés sur des données recueillies auprès de millions d'utilisateurs de Lookout Mobile. Rogers suggère aux utilisateurs de s'en tenir au Play Store de Google et de ne pas se rendre dans des magasins tiers. "Celles-ci ne bénéficient pas nécessairement du même niveau de protection", a-t-il déclaré, "et c'est pourquoi la probabilité de passer de 0,5% au Royaume-Uni à environ 40% en Fédération de Russie et en Ukraine".

Simon a reconnu que "Google Play est une valeur sûre, mais que cela ne veut pas dire que vous ne pouvez pas être compromis d'une autre manière", citant un exploit Chrome qui permettait aux attaquants de prendre le contrôle d'un Nexus 4 et d'un Galaxy S4 après que les utilisateurs cliquent dessus. un certain lien.

Est-ce que quelqu'un essaie de nous protéger?

Les chercheurs initiaux de l'Université de Cambridge se concentrent sur ce que les fabricants de systèmes d'exploitation et les fabricants de smartphones peuvent faire pour lutter contre cette menace.

Le document de recherche de Simon Skype PIN Skimmer suggère également diverses mesures de protection, mais les plus efficaces ont un coût d’utilisation. Par exemple, bloquer l'accès à divers capteurs lors de transactions sensibles éloignerait les pirates informatiques, tout comme randomiserait le positionnement des chiffres sur le clavier NIP - mais cela limiterait également l'utilisation de votre téléphone et rendrait son utilisation peu commode..

Simon a déclaré: "Lorsque vous tapez un code PIN, vous n'avez pas vraiment besoin d'avoir accès à quoi que ce soit, mais c'est une décision importante pour [les fabricants] de dire" nous allons tout bloquer ". Les gens pourraient commencer à se plaindre s’ils manquaient un appel. "

Il nous a dit par la suite que Samsung avait suggéré à GP de proposer les mesures correctives proposées en vue d'une éventuelle inclusion dans la norme TEE, et que Qualcomm avait tenu compte des recommandations.

Qu'en est-il de la biométrie?

Des développements tels que le Touch ID d’Apple pourraient-ils être la solution? Rogers pense que c'est possible. "C'est un très bon moyen d'assurer la sécurité des masses. C'est pratique, facile à utiliser et adapté aux processus normaux de l'utilisateur."

Est-ce que Touch ID est la réponse?

Bien que la biométrie comporte certaines vulnérabilités, le gros avantage est qu’elles permettent une sécurité pratique en deux étapes..

Rogers a déclaré: "Un NIP peut être trompé par quelqu'un, mais vous ne pouvez pas en tromper une empreinte digitale. Si vous épousez les deux, si bien que vous avez maintenant besoin de deux informations d'identification pour pouvoir accéder, je dirais que cette sécurité est assez élevée . "

Ainsi, la biométrie (présente dans les tout derniers produits phares d'Apple, Samsung, HTC et un nombre croissant d'autres) constitue un pas positif vers la sécurité. Mais il reste à voir si elles sont la solution ou si l'authentification multifactorielle est un pas de trop pour les personnes qui utilisent quotidiennement leur smartphone..

En 2014, Apple avait révélé que 49% des personnes utilisaient un code avant Touch ID, mais depuis son lancement, 83% des propriétaires d'iPhone utilisent désormais le Touch ID ou un code. Il semble que faciliter la sécurité soit un encouragement indéniable pour les utilisateurs.

En fin de compte, la seule option peut être de sacrifier une commodité pour la tranquillité d’esprit. Comme le disait Simon: "Tout ce que vous pouvez faire pour rendre les choses plus difficiles pour les méchants est toujours une bonne chose."