Quelle est la méthode la plus sûre pour verrouiller un smartphone
En 2017, de nombreuses façons existent pour verrouiller son smartphone. Les méthodes non biométriques (mots de passe, code PIN, motif…) et les biométriques (reconnaissance faciale, scanner d'iris, capteur d'empreintes digitales…). Ces technologies ont toutes le même objectif : permettre à l'utilisateur de verrouiller son smartphone afin de le protéger contre d'éventuels voleurs. Toutefois, toutes ces méthodes ne se valent pas en termes d'efficacité. Découvrez les avantages et inconvénients de ces méthodes pour verrouiller un smartphone, et quelle est la plus sûre.
Au fil des années, les smartphones sont de plus en plus puissants, et embarquent des technologies toujours plus sophistiquées. Hélas, paradoxalement, les appareils mobiles sont aussi de plus en plus vulnérables aux cyberattaques. Malgré les mises à jour de sécurité fréquemment déployées par les constructeurs et les développeurs, et en dépit des efforts déployés pour rendre les smartphones plus sécurisés, force est de constater que les menaces se multiplient et sont de plus en plus redoutables.
En outre, parallèlement aux attaques à distances, le danger peut aussi survenir à tous les coins de rue. Les smartphones contiennent toujours plus de données sensibles, et attirent par conséquent de plus en plus de voleurs. Dans ce contexte, il convient de verrouiller votre smartphone de la façon la plus sécurisée qui soit. Il existe en effet de nombreuses méthodes pour verrouiller un téléphone, mais toutes ne se valent pas. Après avoir passé en revue les différentes méthodes de verrouillage de smartphone, nous tenterons de déterminer laquelle est la plus sûre.
Les méthodes non biométriques pour verrouiller un smartphone
Les méthodes d'authentification non biométriques sont les plus anciennes : code PIN, mot de passe et motif sont trois façons de verrouiller son téléphone utilisées depuis de nombreuses années, avant même l'apparition des premiers smartphones. Ancrées dans les mœurs, ces techniques traditionnelles sont encore à ce jour les plus utilisées. Depuis peu toutefois, de nombreux experts considèrent que ces méthodes ne sont pas suffisamment sécurisées. En voici les avantages et les inconvénients.
Le mot de passe, la méthode de verrouillage de smartphone la plus classique
Nul besoin de présenter le mot de passe. Cette combinaison unique de lettres, de chiffres et de symboles permet de déverrouiller un appareil ou de se connecter à un service. Utilisée depuis les débuts d'internet et même de l'informatique, cette méthode de verrouillage reste à ce jour la plus commune. Dans l'idée, l'utilisateur est le seul à connaître son mot de passe, ce qui garantit la sécurité de son verrouillage.
Cependant, le principal problème des mots de passe est qu'il n'existe concrètement qu'un nombre limité de combinaisons possibles de caractères alphanumériques. Dans le cas d'un mot de passe à 8 caractères, par exemple, on dénombre environ 3.026 puissance 1015 combinaisons possibles. Par conséquent, avec suffisamment de temps et de détermination, une personne mal intentionnée en possession de votre smartphone serait capable de trouver pas hasard votre mot de passe, manuelle ou à l'aide d'un logiciel de force brute.
Le risque est encore plus élevé si c'est une personne de votre entourage qui tente de déverrouiller votre téléphone, car cette dernière est potentiellement capable de deviner votre mot de passe. De plus, de nombreuses personnes font l'erreur de choisir un mot de passe trop facile à deviner, comme en témoigne la liste des pires mots de passe mise à jour chaque année.
Jusqu'à récemment, la croyance générale était que les combinaisons complexes de lettres capitales et minuscules, de chiffres et de symboles étaient les mots de passe les plus difficiles à pirater. Cette croyance établie est liée à un petit guide de 8 pages publié en 2003 par Bill Burr, l'ancien manager du National Institute of Standards in Technology (NIST). Toutefois, Bill Burr a récemment admis qu'il s'était trompé à l'époque.
En réalité, un mot de passe composé de quatre mots simples sans rapport, comme « bonjourchaussetteagneaulimpide » prendrait environ 550 ans à deviner pour un ordinateur à raison de 1000 tentatives par minute. Au contraire, un mot de passe comme « Ph0N4Ndr&Îd » pourrait être deviné en seulement trois jours. En somme, les mots de passe les plus simples sont les plus difficiles à deviner.
Quoi qu'il en soit, certains constructeurs de smartphones, comme Apple, prennent des mesures pour empêcher les voleurs de deviner un mot de passe au forcing. Après un certain nombre de tentatives erronées, l'appareil peut être bloqué, ou toutes les données qu'il contient peuvent être tout simplement supprimées.
C'est cette sécurité supplémentaire qui avait obligé le FBI à faire appel à Cellebrite pour trouver le mot de passe de l'iPhone du terroriste de San Bernardino en une seule fois afin d'éviter que les preuves qu'il pouvait contenir soient détruites. Toutefois, personne n'a vraiment envie que son téléphone devienne inutilisable en cas d'erreur, et c'est l'une des raisons pour lesquelles le mot de passe tend souvent à céder sa place aux méthodes de verrouillage biométriques.
Le motif, une version alternative du mot de passe
Les motifs sont également une méthode de verrouillage très courante sur le marché des smartphones depuis leur introduction par Google en 2008. Lors de la configuration du verrouillage par motif, 9 chiffres apparaissent à l'écran, répartis par trois colonnes de trois chiffres, et l'utilisateur doit dessiner un motif avec son doigt pour connecter les chiffres entre eux. Par la suite, ce même motif lui permettra de déverrouiller son smartphone.
Le verrouillage par motif présente l'avantage d'être plus rapide que le mot de passe, et plus facile à tracer, surtout lorsqu'on tient l'appareil dans une seule main. Ces motifs sont également plus faciles à retenir que les mots de passe pour la plupart des gens, car ils impliquent la mémoire corporelle au lieu de la mémoire intellectuelle. Cependant, la grande faiblesse du verrouillage par motif est qu'il suffit à une personne mal intentionnée d'observer le geste effectué par l'utilisateur pour découvrir le motif et le reproduire par la suite. De fait, les motifs sont encore plus simples à deviner que les mots de passe.
De plus, selon une étude menée par des chercheurs norvégiens, près de la moitié des motifs de verrouillage commencent par le point situé en haut à gauche de l'écran, ce qui mâche fortement le travail des voleurs. A priori, compte tenu des nombreuses faiblesses des mots de passe et des motifs, les méthodes de verrouillage biométriques semblent donc plus fiables, mais qu'en est-il vraiment ?
Les méthodes biométriques pour verrouiller un smartphone
Concrètement, le terme biométrique fait référence aux données biologiques. Ce terme regroupe aussi bien les empreintes digitales que le code génétique d'un individu. Dans le cas des méthodes de verrouillage de smartphone, toutefois, il est ici question d'authentification biométrique, qui consiste à utiliser les caractéristiques biologiques d'une personne pour vérifier son identité.
Lors de l'installation, l'utilisateur doit fournir un échantillon biologique qui sera ensuite numérisé et stocké dans la mémoire du smartphone. Pour déverrouiller le smartphone, l'utilisateur devra par la suite fournir systématiquement un autre échantillon qui devra correspondre à l'échantillon initial. Voici les principales méthodes biométriques pour verrouiller un smartphone.
Le scanner d'empreintes digitales, la première méthode biométrique pour verrouiller un smartphone
Introduit en 2011 par le Motorola Atrix, le scanner d'empreintes digitales fut réellement démocratisé dans l'industrie par l'iPhone 5s 2013 et sa technologie Touch ID. De nos jours, même les smartphones d'entrée de gamme embarquent cette technologie. La plupart des scanners d'empreintes digitales de smartphones sont des scanners capacitifs, mais il existe également des capteurs à ultrasons considérés par les experts comme plus sécurisés.
Un scanner capacitif est composé d'une multitude de condensateurs très sensibles aux changements de charge électrique. Lorsque l'utilisateur place son doigt sur le scanner, les différents niveaux de charge permettent de créer une image virtuelle de son empreinte digitale à part de sa structure physique. Il existe également des scanners optiques, beaucoup moins fiables, qui peuvent être trompés par une photo de l'empreinte digitale.
Malheureusement, les scanners d'empreintes digitales capacitifs ne sont pas infaillibles. Selon Kyle Lady de Duo Security, cette méthode n'est pas plus sécurisée que les méthodes non biométriques. Il suffit par exemple de reproduire une empreinte digitale dans du caoutchouc pour tromper le scanner. Une photo d'une empreinte imprimée avec de l'encre conductrice capable d'imiter les différences de charges électriques peut également contourner cette sécurité.
Selon Apple, les chances de contourner la sécurité de Touch ID sont de 1 sur 50 000 avec une seule empreinte enregistrée dans la mémoire du smartphone. Si les empreintes des dix doigts sont enregistrées, dans la mémoire du smartphone, les chances passent à 1 sur 5000. De son côté, Google n'a jamais publié d'estimations concernant la fiabilité des scanners d'empreintes digitales sur les smartphones Android. En fonction des marques, l'efficacité des algorithmes de vérification varie fortement.
De fait, il y aurait théoriquement plus de chances de contourner un scanner d'empreintes digitales que de deviner un mot de passe à huit caractères.Toutefois, en tapant un mot de passe, il est nécessaire de faire attention à ce que personne ne vous voit faire. Au contraire, même si quelqu'un vous voit placer votre empreinte digitale sur un scanner, il ne sera pas en mesure de reproduire l'empreinte pour autant.
Cependant, rappelons que vos empreintes digitales restent imprimées sur chaque poignée de porte que vous touchez. Il est également possible d'utiliser votre empreinte digitale à votre insu pendant que vous dormez, ou de saisir votre doigt de force en usant de la violence. Vous l'aurez compris, tout comme les méthodes non biométriques, le scanner d'empreintes digitales a ses avantages et ses inconvénients.
La reconnaissance faciale, la méthode de verrouillage du futur selon Apple
Nettement moins répandue que le scanner d'empreintes digitales sur les smartphones Android, la reconnaissance faciale est une autre méthode de verrouillage biométrique. Parmi les principaux constructeurs qui proposent cette technologie, on compte bien évidemment Samsung, qui l'intègre à ses flagships haut de gamme depuis le Galaxy Note 7. Très pratique et rapide à utiliser, cette méthode présente malheureusement l'inconvénient d'être très facile à contourner à l'heure actuelle.
Une simple photo suffit à contourner la reconnaissance faciale du Galaxy S8, et il en va de même pour celle du Galaxy Note 8. Si un voleur de smartphone connaît votre identité, il n'a plus qu'à retrouver votre photo sur Google ou sur les réseaux sociaux pour déverrouiller votre appareil. De même, dans la situation fâcheuse où vous retrouveriez ligoté par des malfaiteurs ou par des policiers, il suffirait de placer votre smartphone devant votre visage pour le déverrouiller.
Cependant, le 12 septembre 2017, Apple a dévoilé l'iPhone X, son nouveau flagship embarquant une technologie de reconnaissance faciale nettement plus sophistiquée baptisée Face ID. Cette technologie repose sur des émetteurs qui projettent plus de 30 000 points infrarouges sur le visage de l'utilisateur pour le cartographier en trois dimensions. Selon Apple, cette technologie est impossible à contourner avec une simple photo, et nécessite que l'utilisateur regarde fixement et volontairement l'appareil photo frontal pour fonctionner.
De plus, Face ID reconnaît de mieux en mieux son utilisateur au fil du temps. Apple est si convaincue que la reconnaissance faciale est la méthode de verrouillage du futur que Face ID remplace purement et simplement Touch ID sur l'iPhone X. Selon un nouveau rapport publié par les analystes de KGI, tous les iPhone de 2018 embarqueront cette technologie, mais Touch ID sera tout de même de la partie, intégré à l'écran tactile.
La reconnaissance vocale, une méthode de verrouillage biométrique qui laisse à désirer
La reconnaissance vocale est une méthode d'authentification biométrique de plus en plus utilisée dans l'industrie du smartphone. Google propose par exemple la fonctionnalité Trusted Voice sur Android, permettant de déverrouiller son smartphone de la même façon que l'on active l'assistant vocal Google Assistant.
Il suffit ainsi de prononcer les mots « OK Google » pour déverrouiller le smartphone. Malheureusement, cette méthode laisse clairement à désirer en matière de sécurité. Il suffit qu'une personne ait une voix similaire à la vôtre pour que le smartphone se laisse berner. Il va sans dire qu'un enregistrement vocal suffit largement à contourner cette sécurité. Par conséquent, à moins d'avoir une voix réellement atypique, mieux vaut éviter cette méthode.
Le scanner d'iris, une méthode prometteuse, mais pas encore convaincante
Introduit par Samsung avec le Galaxy Note 7 de 2016, le scanner d'iris est également présent sur les deniers flagships du constructeur sud-coréen. D'autres constructeurs comme Nokia, Vivo, UMI et ZTE intègrent également cette technologie à leurs derniers smartphones. De nombreux experts considèrent que le scanner d'iris est actuellement la meilleure méthode de verrouillage de smartphone. Comme le Face ID d'Apple, le scanner d'iris repose sur des émetteurs qui projettent une lumière infrarouge sur l'iris de l'utilisateur pour distinguer les lignes qui le composent. Les motifs sont ensuite convertis en code par le smartphone, et ce code sera comparé avec les futurs scans pour vérifier l'identité de l'utilisateur.
Cette méthode peut être utilisée même dans le noir, et peut sembler infaillible. Malheureusement, elle ne l'est pas tout à fait. Moins d'un mois après le lancement du Galaxy S8, son scanner d'iris a été trompé par des hackers allemands. Ces derniers ont utilisé une imprimante 3D, des lentilles de contact, et une photo haute définition de l'iris d'un utilisateur pour créer un faux œil suffisamment sophistiqué pour tromper le scanner d'iris du smartphone.
En outre, comme l'a prouvé Sam Fisher à de nombreuses reprises dans la saga de jeux vidéo Splinter Cell, il est très facile de forcer quelqu'un à déverrouiller un scanner d'iris en usant de la force. Il faudra donc attendre que cette technologie s'améliore pour pouvoir réellement la considérer comme la méthode de verrouillage la plus fiable.
Conclusion : quelle est la méthode la plus sûre pour verrouiller un smartphone ?
Comme vous l'aurez compris à travers la lecture de ce dossier, toutes les méthodes de verrouillage de smartphone présentent leurs faiblesses. Même les méthodes les plus sophistiquées comme le scan d'iris ne sont pas infaillibles. Par conséquent, la solution la plus fiable semble être d'opter pour au moins deux méthodes simultanément.
Par exemple, s'il est nécessaire d'utiliser à la fois le scanner d'empreintes digitales et le scanner d'iris pour déverrouiller le smartphone, la sécurité sera fortement renforcée. De même, un mot de passe couplé à la reconnaissance faciale mènera la vie dure aux voleurs. Tandis que les méthodes de verrouillage se diversifient, espérons donc que les constructeurs de smartphones décident de proposer une telle option pour les prochaines générations de smartphones.
Notons aussi que la méthode la plus sûre pour verrouiller un smartphone dépend aussi de la situation de chacun. Si vous êtes une célébrité, il y a plus de chances que les voleurs s'acharnent à dérober vos empreintes digitales ou falsifient votre iris que si vous êtes un individu lambda. Quoi qu'il en soit, sachant qu'aucune méthode n'est réellement infaillible, la prudence reste de mise, et il est préférable de garder son smartphone bien en sécurité dans sa poche pour réduire les chances qu'un voleur ait l'opportunité d'essayer de le déverrouiller.