Chronique d’un homme bionique n°3 – Comment j’ai contourné le mot de passe de mon smartphone.

Notre homme à la puce NFC implantée dans sa main, continue ses expérimentations. Ici il raconte comment il a contourné l’authentification biométrique d’un appareil Android.

La plus grande déception que j’ai connue depuis le début de l’expérience de la biopuce c’est la position d’Apple envers la NFC. Ou, pour être plus direct, le désir de l’entreprise d’obtenir l’exclusivité afin de pouvoir l’utiliser dans sa plate-forme.

Chaque iPhone 6 possède une puce NFC intégrée, ce qui n’est pas une possibilité pour d’autres développeurs à l’exception d’Apple. Personne ne peut développer une application tierce pour l’utilisation de la puce NFC d’Apple. L’explication est très simple : les gars de Cupertino promeuvent activement leur service de paiement sans-fil, propriété d’Apple Pay, et utilisent cette simple astuce pour se débarrasser de toute la concurrence susceptible de compromettre leur nouvelle plate-forme. Je l’ai su dès le lancement de l’iPhone 6. Mais avec une puce implantée dans la main, cela est une autre histoire. Et comme a dit Oscar Wild :  » Un rêveur est une personne qui peut trouver son chemin uniquement grâce au clair de lune et sa punition est de voir l’aube avant le reste du monde. « 

 

Ayant donc réalisé le fait que la puce qui fut introduite dans ma main ne pourra interagir avec mon iPhone, j’ai dû faire face à une affreuse réalité : le meilleur de la technologie bionique ne sera pas accessible à tous dans le futur. De plus, il y a de grandes chances pour que cela soit utilisé en vue de manipuler les gens.

À l’heure ou l’Internet des Objets est en pleine émergence, son infrastructure est en train d’être créée et elle ne se limite pas aux plateformes, protocoles et normes. Par conséquent, la règle du  » premier arrivé, premier servi  » s’appliquera. Et les entreprises qui auront une pratique de développement alignée et efficace, auront une longueur d’avance importante. Un avantage qu’ils ne seront pas prêts à partager avec n’importe qui.

Il s’avère que de nos jours, les géants inventeurs de nouvelles technologies s’imposent afin de redéfinir un nouveau marché : les entreprises tentent de dompter les consommateurs et de les limiter à leurs produits afin de se tailler la part du lion.

Un consommateur ordinaire ne se préoccupe bien évidemment pas de toute cette agitation : si un gadget ne lui convient pas, il n’aura qu’à le remplacer par un autre. Mais pour moi, et pour d’autres futurs hommes  bioniques équipés des meilleurs neuro-implants bioniques, nous nous inquiétons BEAUCOUP – car il n’est pas si simple de remplacer une partie de soi lorsque bon nous semble.

Par conséquent, tentons de nous projeter dans un futur pas si lointain. Imaginons que le système de validation des titres de transport du métro soit compatible avec ma biopuce mais que la société en charge des bus décide soudainement d’opter pour un autre système de validation du titre de transport ; aussi étrange que cela puisse paraitre, je me verrai obligé de choisir quel type de transport en commun je devrai emprunter. Et je devrai m’en contenter.

Et je n’ose même pas évoquer les voyages transfrontaliers et les divers problèmes qui pourraient survenir dans le cas où le citoyen d’un pays se trouve être « incompatible » avec les infrastructures d’un autre pays. Je dramatise volontairement l’étendue des problèmes auxquels on pourrait faire face, mais j’espère que vous aurez  compris ma démarche.

Afin de réaliser l’expérience, je me suis procuré deux smartphones, dont l’un Android et l’autre Windows – à savoir, le HTC One M8 et le Nokia Lumia 1020

Plus je passe de temps dans la peau d’un  » cyborg néophyte  » ™, plus je m’intéresse au futur. Nous  avons libéré le génie de la lampe mais nous n’étions pas préparés aux conséquences. Et pour tenter de changer le cours des choses, des efforts doivent être faits à tous les niveaux, y compris au niveau de ceux qui prennent les grandes décisions. J’ai eu cette révélation en tentant d’interagir avec les applications NFC disponible sur Google Play, et je me suis retrouvé  » prisonnier  » de l’infrastructure Android.

La puce elle-même fonctionne de manière infaillible : il n’y a rien qui puisse faire qu’elle tombe en panne ou qu’elle soit en retard. Mais concernant les smartphones, c’est une autre histoire. Je recommanderais d’ailleurs, une fois de plus, à l’équipe Android de Google de rafraîchir le code utilisé dans les applications NFC. Il arrive parfois, qu’après une série d’opérations de lecture/écriture dans la mémoire de la puce, les smartphones cessent de reconnaitre la puce et ont besoin d’être redémarrés. Parfois, il se peut qu’une appli NFC se fige ou se ferme. En d’autres termes, certaines choses ne sont pas tout à fait prêtes (et lorsque je dis  » certaines choses  » je veux dire  » vraiment tout « )

Mais l’histoire d’aujourd’hui concerne  un seul et très critique cas d’utilisation : déverrouiller un smartphone grâce à une biopuce. Ce qui s’est produit pendant mon expérience n’a fait que renforcer mes préoccupations.

Voici une petite application que j’ai installé pour le bien de l’expérience – TapUnlock:

tapunlock

J’ai programmé la biopuce de ma main afin de permettre le  déverrouillage automatique de l’écran lorsque vous touchez le smartphone (par exemple, lors de la prise dans ma main). Cela est comparable à un mot de passe traditionnel mais, dans ce cas, celui-ci est remplacé par la clé unique stockée dans une puce sous la peau. J’étais très excité quant à la simplicité et à l’élégance de cette approche (enfin… le premier jour) :

Mais l’application s’est ensuite bloquée et… quelque chose aurait pu être mal configuré dans les paramètres (une analyse rapide nous a révélé que le fichier contenant toutes les clés utilisées avait été corrompu).

Peu importe la raison. Je me retrouve avec un smartphone potentiellement inutilisable puisqu’il est impossible à déverrouiller dans le cas où il ne nécessite pas l’entrée d’un mot de passe. Il n’y a aucune autre méthode permettant de déverrouiller le dispositif et la réinitialisation ne fonctionnait pas. J’étais donc en possession d’un simple morceau de plastique inutile.

Et maintenant nous sommes sur le point de faire une révélation inédite : cette protection peut être contournée ! Pour cela, vous n’avez même pas besoin d’être le roi des hackers – la seule compétence que vous devez posséder est une connaissance médiocre des principes de l’OS des mobiles modernes (Android dans notre cas). Android est un système d’exploitation relativement sécurisé, principalement parce que les développeurs tiers ne sont pas autorisés à toucher au noyau.

En contrôlant totalement les processus et les normes de développement, Google peut garantir la stabilité à la fois pour le noyau et les applications d’origine. Mais lorsqu’il s’agit de développeurs tiers, le système est toujours en état d’alerte, et c’est la raison pour laquelle Google permet à un utilisateur de supprimer n’importe quelle application lente, défaillante, ou tout simplement ennuyeuse.

Pour supprimer une appli qui empêche un smartphone Android de charger avec succès, il existe plusieurs étapes faciles :

  • Appuyez et maintenez le bouton  » On « , choisissez l’option « Mise hors tension » dans le menu pop-up puis appuyez et maintenez-le pendant quelques secondes (peut varier selon le modèle).
  • Dans le menu pop-up qui suit, choisissez « Redémarrer en Safe Mode ».
  • Après le redémarrage, cherchez une appli  » Google Play  » (la plupart des applis seront cachées de l’écran), puis choisissez ensuite  » toutes les applis  » et cherchez celle que vous souhaitez.
  • Choisissez l’application qui vous pose problème (TapUnlock, dans mon cas) et cliquez sur « Désinstaller ».
  • Appuyez et maintenez le bouton « Power » pendant plusieurs secondes et redémarrez en mode normal.

Cela signifie donc qu’aujourd’hui, il est totalement possible de désactiver toute application tierce utilisée à des fins d’authentification en suivant ces étapes faciles. Cela signifie que toutes les applis sont considérées peu fiables par Google, surtout si elles ont tendance à échouer soudainement, ou si celles-ci sont susceptibles d’être corrompues ou infectées. Tout peut arriver.

Apple et Microsoft suivent la même stratégie. De ce fait, afin de déployer un moyen d’authentification par biopuce de manière fiable, pratique, stable et sûre puis de dire adieu aux bon vieux mots de passe, un travail sérieux doit être effectué – aussi bien au niveau du noyau du système d’exploitation qu’au niveau logique de la puce. Plusieurs éléments doivent être pensés en vue d’être déployés : chiffrement asymétrique, authentification à deux facteurs, et d’autres moyens de sécurité sont quelques-uns des éléments qui me viennent à l’esprit.

La bonne nouvelle est que les ingénieurs de Google et Microsoft sont déjà sur les starting-blocks. Il m’arrive d’être conscient du fait que #BionicManDiary puisse être lu par les employés d’Apple. C’est pourquoi nous pouvons espérer un effort commun en vue de résoudre tous ces problèmes.

Dans mon prochain blog je vous montrerai le processus effectué pour faire interagir les portes d’entrée de nos bureaux avec ma biopuce. Mais d’abord et avant tout – je vous montrerai la corrélation directe entre les biopuces et Star Wars.

Comme toujours, c’est avec grand plaisir que je répondrai à vos questions, que vous pouvez poser dans les commentaires de cet article ou bien sur Twitter ou Facebook.

Bien cordialement,

CHE

Conseils