Si vous pensez que l’écran de verrouillage de votre smartphone sous Android suffit à dissuader les fouineurs… Vous avez sans doute tort puisqu’une faille majeure vient d’être repérée sur l’OS de Google.
La situation est ainsi particulièrement délicate alors que les vols de smartphones se multiplient. En cas de vol, on pouvait toujours espérer que le verrouillage par code, empreinte digitale ou reconnaissance faciale permette d’éviter d’accéder aux données stockées sur l’appareil. C’est désormais illusoire puisqu’un chercheur en cybersécurité indique qu’une faille présente dans une majorité des versions d’Android permet à quiconque de déverrouiller un appareil sans en connaitre le code.
Une faille qui touche des millions d’appareils
David Schütz a découvert la faille par hasard sur son Pixel 6 . Son appareil n’avait plus de batterie puis il a renseigné 3 fois le mauvais code PIN de sa carte SIM qui a donc été verrouillée. Au moment de la réactiver avec le code PUK, son Pixel lui a demandé de scanner son empreinte digitale, chose qui n’aurait pas dû arriver : après un redémarrage, il est normalement demandé à l’utilisateur de procéder à un déverrouillage par code.
Le chercheur a vu là une faille : il suffit pour un pirate d’insérer sa propre SIM dans un appareil Android (le tout est de disposer du code PUK) puis de rentrer 3 fois de suite le mauvais code PIN. En renseignant ensuite le code PUK, on peut alors contourner le verrouillage de l’appareil qui demande à l’utilisateur de définir un nouveau code PIN.
La faille a été découverte en juin dernier et le chercheur a communiqué immédiatement sa trouvaille à Google qui a mis plus de 5 mois à corriger le tir. La faille est présente sur Android 10, 11, 12 et 13. Le correctif a été intégré à la mise à jour de sécurité de novembre 2022 : si vous ne procédez pas aux mises à jour automatique, vous devriez procéder à une mise à jour manuelle pour corriger la faille en question.