Lors de sa visite à sa Maison Blanche cette semaine, Kanye West a fait quelque chose d’incroyablement imprudent, et qui n’avait rien à voir avec le monologue, assez vulgaire, de dix minutes qu’il a livré aux médias et au président Trump, bien connu pour son impatience.
En sortant un iPhone XS, pour montrer à la foule rassemblée une image de l’avion à propulsion hydrogène avec lequel “notre président devrait voler”, West l’a déverrouillé de façon désinvolte en utilisant le passcode “000000“.
Des personnes célèbres commettent parfois des erreurs en public de ce type en matière de sécurité, et chaque fois, la réaction est la même : à savoir un mélange de ridicule et de stupéfaction.
Ridicule parce que 000000 semble être le genre de passcode que n’importe qui pourrait deviner, et stupéfaction que West se soit laissé filmer, révélant ainsi naïvement cette faiblesse.
D’autres se sont simplement amusés du fait que West n’ait pas utilisé le FaceID ou le TouchID !
Tout d’abord, prenons un peu de hauteur, 000000 est un mauvais code, mais le pire choix possible pour les utilisateurs d’iPhone est de ne pas utiliser de code du tout, et ce choix au moins, il ne l’a pas fait !
Et bien que le passcode de Kanye soit presque le pire choix qui puisse exister (la palme revenant au célèbre 123456), cela ne signifie pas pour autant que le deviner soit un simple jeu d’enfants.
En effet, les smartphones modernes imposent des limites en termes de tentatives incorrectes.
Sous iOS, un cybercriminel est autorisé à effectuer six tentatives infructueuses, après quoi le téléphone est désactivé pendant une minute. En continuant à deviner de manière incorrecte le passcode, les délais d’attente augmentent en passant à 5, 15 et 60 minutes. Après la dixième tentative, l’iPhone doit être réinitialisé via iTunes ou, si l’option est activée, toutes les données seront effacées !
Ainsi, bien que 000000 semble facile à deviner, tout utilitaire permettant d’attaquer par force bute, le repérerait en quelques fractions de seconde s’il était utilisé pour sécuriser un compte en ligne, mais sur un périphérique physique, ce n’est pas aussi simple !
Un attaquant ayant un accès physique à l’iPhone de Kanye West devra encore décider, lequel parmi les 10 millions de passcodes possibles, il voudra essayer.
000000 est l’une des plus évidentes, mais il existe de nombreuses autres combinaisons évidentes de chiffres, de motifs sur l’écran tactile ou de chiffres significatifs (comme les dates de naissance) lorsque vous n’avez que dix choix possibles.
Par conséquent, si la leçon numéro un consiste à choisir un meilleur passcode, la deuxième est que les limites de verrouillage peuvent contribuer, dans une large mesure, à protéger les utilisateurs vis-à-vis de leurs propres mauvais choix !
Cependant, il existe une leçon encore plus importante à tirer ici …
Même si West avait choisi un code d’authentification plus puissant, cela n’aurait fait aucune différence, pour la simple et bonne raison qu’il l’a saisi devant d’autres personnes tout en étant filmé !
Before you laugh at Kanye West…
…ever wondered how often *your* passwords have been seen/shoulder surfed/recorded by mistake? (This makes a good case for 2FA!) pic.twitter.com/RnkgBkCgTI
— Naked Security (@NakedSecurity) 11 octobre 2018
Au lieu de nous moquer de lui pour sa naïveté, nous devrions le remercier de nous avoir rappelé ce principe de base en matière de sécurité, le tout complété par une belle démonstration difficile à rater devant la presse mondiale et des millions de spectateurs !
Billet inspiré de What Kanye West can teach us about passcodes, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.