Apple et Google ont rendu si facile le chargement de nos vies entières sur nos téléphones tout en protégeant toutes ces informations grâce à des méthodes d’authentification avancées. Mais il existe un maillon faible crucial qui peut tout ouvrir si vous avez la malchance d’être surveillé : il s’agit de la méthode d’authentification que vous utilisez pour déverrouiller votre téléphone. Nous ne voulons pas vous inciter à prendre des mesures inutiles, mais avec la multiplication des vols d’iPhone hautement coordonnés au cours des deux dernières années, nous pensons qu’il est bon de passer d’un code numérique à un mot de passe alphanumérique.
Joanna Stern, du Wall Street Journal, rapporte cette semaine une recrudescence des vols de téléphones qui peuvent impliquer un certain niveau d’ingénierie sociale permettant de lire et de mémoriser votre code d’accès – qu’il s’agisse d’une simple observation de la saisie de votre code à la vue de tous, d’une demande sournoise de partager la photo que vous venez de prendre ou d’une simple coercition, cela peut arriver à tout le monde.
Mais ce genre de manœuvre n’a pas pour seul but de revendre votre appareil sur le marché libre : les comptes Apple ID et Google proposent tous deux une méthode de réinitialisation du mot de passe qui ne nécessite que l’authentification de l’utilisateur sur son appareil. En accédant à ces comptes, les voleurs peuvent ensuite accéder à d’autres informations personnelles et les utiliser pour piller le stockage en nuage, siphonner les comptes bancaires et les lignes de crédit, et même escroquer d’autres personnes avec cette identité volée, tout en empêchant la victime de reprendre le contrôle parce que toutes les informations du compte ont été modifiées.
Cette tendance est difficile à quantifier et, bien que la possession d’un iPhone puisse faire partie du stéréotype de la cible de grande valeur, nous n’avons probablement pas une image complète de la situation, si l’on se fie uniquement à ce que Stern rapporte par l’intermédiaire de ses contacts avec la police et des personnes qui ont partagé leur histoire.
Quelles que soient les statistiques sur les vols d’appareils Android, vous devez savoir que le même exploit essentiel est également présent sur les téléphones Android : comme le souligne l’estimé Mishaal Rahman, les voleurs peuvent prendre le contrôle des titulaires de comptes Google des victimes en passant par le flux de réinitialisation du mot de passe et en s’authentifiant avec le code d’accès de leur appareil.
Au-delà des instructions de Rahman, les acteurs malveillants peuvent être en mesure de passer le second facteur d’authentification s’il est requis en choisissant la méthode « Tapez Oui sur votre téléphone ou votre tablette » car l’invite serait envoyée à l’appareil en main et le flux d’applications Google serait en mesure de détecter ladite invite, passant ainsi la vérification.
Peu importe que vous optiez pour la reconnaissance faciale ou le balayage des empreintes digitales, car ces méthodes permettent de revenir à un code d’accès, un mot de passe ou un verrouillage par motif. Le meilleur conseil que nous puissions vous donner pour l’instant est de remplacer le code d’accès ou le verrouillage par un mot de passe alphanumérique.
Nous savons que ce n’est pas une bonne idée, surtout parce qu’en plus d’être l’une des choses que vous ne pouvez pas gérer avec un gestionnaire de mots de passe ou une application d’authentification, ce sera encore un autre mot de passe principal que vous devrez retenir avec tous les pièges qui viennent avec la complexité et la mémoire. Il serait également ironique et tragique que des voleurs puissent venir à bout du meilleur mot de passe que vous pouvez garder dans votre tête et qui n’est pas 5aP9had^Q ou quelque chose comme ça. À tout le moins, Apple et Google ne devraient pas accepter les méthodes d’authentification de base sur un seul appareil comme vérification de la réinitialisation des mots de passe des comptes. Nous avons demandé à Google s’il envisageait de supprimer ces méthodes des situations d’authentification et nous vous tiendrons informés de la suite donnée.