{"id":4401,"date":"2015-03-23T16:21:21","date_gmt":"2015-03-23T16:21:21","guid":{"rendered":"http:\/\/kasperskydaily.com\/france\/?p=4401"},"modified":"2020-02-26T15:51:48","modified_gmt":"2020-02-26T15:51:48","slug":"homme-bionique-contourne-mot-de-passe-smartphone","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/homme-bionique-contourne-mot-de-passe-smartphone\/4401\/","title":{"rendered":"Chronique d&rsquo;un homme bionique n\u00b03 &#8211; Comment j&rsquo;ai contourn\u00e9 le mot de passe de mon smartphone."},"content":{"rendered":"<p>La plus grande d\u00e9ception que j\u2019ai connue depuis le d\u00e9but de l\u2019exp\u00e9rience de la biopuce c\u2019est la position d\u2019Apple envers la NFC. Ou, pour \u00eatre plus direct, le d\u00e9sir de l\u2019entreprise d\u2019obtenir l\u2019exclusivit\u00e9 afin de pouvoir l\u2019utiliser dans sa plate-forme.<\/p>\n<p>Chaque iPhone 6 poss\u00e8de une puce NFC int\u00e9gr\u00e9e, ce qui n\u2019est pas une possibilit\u00e9 pour d\u2019autres d\u00e9veloppeurs \u00e0 l\u2019exception d\u2019Apple. Personne ne peut d\u00e9velopper une application tierce pour l\u2019utilisation de la puce NFC d\u2019Apple. L\u2019explication est tr\u00e8s simple\u00a0: les gars de Cupertino promeuvent activement leur service de paiement sans-fil, propri\u00e9t\u00e9 <a href=\"https:\/\/www.kaspersky.fr\/blog\/risques-payer-iphone\/3694\/\" target=\"_blank\" rel=\"noopener\">d\u2019Apple Pay<\/a>, et utilisent cette simple astuce pour se d\u00e9barrasser de toute la concurrence susceptible de compromettre leur nouvelle plate-forme. Je l\u2019ai su d\u00e8s le lancement de l\u2019iPhone 6. Mais avec une puce implant\u00e9e dans la main, cela est une autre histoire. Et comme a dit Oscar Wild\u00a0: <em>\u00a0\u00bb\u00a0Un r\u00eaveur est une personne qui peut trouver son chemin uniquement gr\u00e2ce au clair de lune et sa punition est de voir l\u2019aube avant le reste du monde.\u00a0\u00ab\u00a0<\/em><\/p>\n<p>\u00a0<\/p>\n<p>Ayant donc r\u00e9alis\u00e9 le fait que la puce qui fut introduite dans ma main ne pourra interagir avec mon iPhone, j\u2019ai d\u00fb faire face \u00e0 une affreuse r\u00e9alit\u00e9 : le meilleur de la technologie bionique ne sera pas accessible \u00e0 tous dans le futur. De plus, il y a de grandes chances pour que cela soit utilis\u00e9 en vue de manipuler les gens.<\/p>\n<p>\u00c0 l\u2019heure ou <a href=\"https:\/\/www.kaspersky.fr\/blog\/inquietant-internet-objets\/4303\/\" target=\"_blank\" rel=\"noopener\">l\u2019Internet des Objets<\/a> est en pleine \u00e9mergence, son infrastructure est en train d\u2019\u00eatre cr\u00e9\u00e9e et elle ne se limite pas aux plateformes, protocoles et normes. Par cons\u00e9quent, la r\u00e8gle du \u00a0\u00bb\u00a0premier arriv\u00e9, premier servi\u00a0\u00a0\u00bb s\u2019appliquera. Et les entreprises qui auront une pratique de d\u00e9veloppement align\u00e9e et efficace, auront une longueur d\u2019avance importante. Un avantage qu\u2019ils ne seront pas pr\u00eats \u00e0 partager avec n\u2019importe qui.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"fr\" dir=\"ltr\">Chronique d'un homme <a href=\"https:\/\/twitter.com\/hashtag\/Bionic?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Bionic<\/a> avec <a href=\"https:\/\/twitter.com\/cheresh?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@cheresh<\/a>, Premi\u00e8res pens\u00e9es d'un (quasi) cyborg. <a href=\"https:\/\/twitter.com\/hashtag\/biohacking?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#biohacking<\/a> <a href=\"http:\/\/t.co\/t3cRfKfYAi\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/t3cRfKfYAi<\/a> <a href=\"http:\/\/t.co\/yeO55g2bnE\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/yeO55g2bnE<\/a><\/p>\n<p>\u2014 Kaspersky France (@kasperskyfrance) <a href=\"https:\/\/twitter.com\/kasperskyfrance\/status\/572688552317882368?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">March 3, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Il s\u2019av\u00e8re que de nos jours, les g\u00e9ants inventeurs de nouvelles technologies s\u2019imposent afin de red\u00e9finir un nouveau march\u00e9\u00a0: les entreprises tentent de dompter les consommateurs et de les limiter \u00e0 leurs produits afin de se tailler la part du lion.<\/p>\n<p>Un consommateur ordinaire ne se pr\u00e9occupe bien \u00e9videmment pas de toute cette agitation\u00a0: si un gadget ne lui convient pas, il n\u2019aura qu\u2019\u00e0 le remplacer par un autre. Mais pour moi, et pour d\u2019autres futurs hommes\u00a0 bioniques \u00e9quip\u00e9s des meilleurs neuro-implants bioniques, nous nous inqui\u00e9tons BEAUCOUP \u2013 car il n\u2019est pas si simple de remplacer une partie de soi lorsque bon nous semble.<\/p>\n<p>Par cons\u00e9quent, tentons de nous projeter dans un futur pas si lointain. Imaginons que le syst\u00e8me de validation des titres de transport du m\u00e9tro soit compatible avec ma biopuce mais que la soci\u00e9t\u00e9 en charge des bus d\u00e9cide soudainement d\u2019opter pour un autre syst\u00e8me de validation du titre de transport\u00a0; aussi \u00e9trange que cela puisse paraitre, je me verrai oblig\u00e9 de choisir quel type de transport en commun je devrai emprunter. Et je devrai m\u2019en contenter.<\/p>\n<p>Et je n\u2019ose m\u00eame pas \u00e9voquer les voyages transfrontaliers et les divers probl\u00e8mes qui pourraient survenir dans le cas o\u00f9 le citoyen d\u2019un pays se trouve \u00eatre \u00ab\u00a0incompatible\u00a0\u00bb avec les infrastructures d\u2019un autre pays. Je dramatise volontairement l\u2019\u00e9tendue des probl\u00e8mes auxquels on pourrait faire face, mais j\u2019esp\u00e8re que vous aurez \u00a0compris ma d\u00e9marche.<\/p>\n<div class=\"pullquote\">Afin de r\u00e9aliser l\u2019exp\u00e9rience, je me suis procur\u00e9 deux smartphones, dont l\u2019un Android et l\u2019autre Windows \u2013 \u00e0 savoir, le HTC One M8 et le Nokia Lumia 1020<\/div>\n<p>Plus je passe de temps dans la peau d\u2019un \u00a0\u00bb\u00a0cyborg n\u00e9ophyte\u00a0\u00a0\u00bb \u2122, plus je m\u2019int\u00e9resse au futur. Nous\u00a0 avons lib\u00e9r\u00e9 le g\u00e9nie de la lampe mais nous n\u2019\u00e9tions pas pr\u00e9par\u00e9s aux cons\u00e9quences. Et pour tenter de changer le cours des choses, des efforts doivent \u00eatre faits \u00e0 tous les niveaux, y compris au niveau de ceux qui prennent les grandes d\u00e9cisions. J\u2019ai eu cette r\u00e9v\u00e9lation en tentant d\u2019interagir avec les applications NFC disponible sur Google Play, et je me suis retrouv\u00e9 \u00a0\u00bb\u00a0prisonnier\u00a0\u00a0\u00bb de l\u2019infrastructure Android.<\/p>\n<p>La puce elle-m\u00eame fonctionne de mani\u00e8re infaillible\u00a0: il n\u2019y a rien qui puisse faire qu\u2019elle tombe en panne ou qu\u2019elle soit en retard. Mais concernant les smartphones, c\u2019est une autre histoire. Je recommanderais d\u2019ailleurs, une fois de plus, \u00e0 l\u2019\u00e9quipe Android de Google de rafra\u00eechir le code utilis\u00e9 dans les applications NFC. Il arrive parfois, qu\u2019apr\u00e8s une s\u00e9rie d\u2019op\u00e9rations de lecture\/\u00e9criture dans la m\u00e9moire de la puce, les smartphones cessent de reconnaitre la puce et ont besoin d\u2019\u00eatre red\u00e9marr\u00e9s. Parfois, il se peut qu\u2019une appli NFC se fige ou se ferme. En d\u2019autres termes, certaines choses ne sont pas tout \u00e0 fait pr\u00eates (et lorsque je dis \u00a0\u00bb\u00a0certaines choses\u00a0\u00a0\u00bb je veux dire \u00a0\u00bb\u00a0vraiment tout\u00a0\u00ab\u00a0)<\/p>\n<p>Mais l\u2019histoire d\u2019aujourd\u2019hui concerne\u00a0 un seul et tr\u00e8s critique cas d\u2019utilisation : d\u00e9verrouiller un smartphone gr\u00e2ce \u00e0 une biopuce. Ce qui s\u2019est produit pendant mon exp\u00e9rience n\u2019a fait que renforcer mes pr\u00e9occupations.<\/p>\n<p>Voici une petite application que j\u2019ai install\u00e9 pour le bien de l\u2019exp\u00e9rience \u2013 <a href=\"https:\/\/play.google.com\/store\/apps\/details?id=com.moonpi.tapunlock\" target=\"_blank\" rel=\"noopener nofollow\">TapUnlock<\/a>:<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2015\/03\/06095807\/tapunlock-1024x298.png\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-4403\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2015\/03\/06095807\/tapunlock-1024x298.png\" alt=\"tapunlock\" width=\"3008\" height=\"876\"><\/a><\/p>\n<p>J\u2019ai programm\u00e9 la biopuce de ma main afin de permettre le\u00a0 d\u00e9verrouillage automatique de l\u2019\u00e9cran lorsque vous touchez le smartphone (par exemple, lors de la prise dans ma main). Cela est comparable \u00e0 un mot de passe traditionnel mais, dans ce cas, celui-ci est remplac\u00e9 par la cl\u00e9 unique stock\u00e9e dans une puce sous la peau. J\u2019\u00e9tais tr\u00e8s excit\u00e9 quant \u00e0 la simplicit\u00e9 et \u00e0 l\u2019\u00e9l\u00e9gance de cette approche (enfin\u2026 le premier jour)\u00a0:<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/f6KGlQIBuDg?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>Mais l\u2019application s\u2019est ensuite bloqu\u00e9e et\u2026 quelque chose aurait pu \u00eatre mal configur\u00e9 dans les param\u00e8tres (une analyse rapide nous a r\u00e9v\u00e9l\u00e9 que le fichier contenant toutes les cl\u00e9s utilis\u00e9es avait \u00e9t\u00e9 corrompu).<\/p>\n<p>Peu importe la raison. Je me retrouve avec un smartphone potentiellement inutilisable puisqu\u2019il est impossible \u00e0 d\u00e9verrouiller dans le cas o\u00f9 il ne n\u00e9cessite pas l\u2019entr\u00e9e d\u2019un mot de passe. Il n\u2019y a aucune autre m\u00e9thode permettant de d\u00e9verrouiller le dispositif et la r\u00e9initialisation ne fonctionnait pas. J\u2019\u00e9tais donc en possession d\u2019un simple morceau de plastique inutile.<\/p>\n<p>Et maintenant nous sommes sur le point de faire une r\u00e9v\u00e9lation in\u00e9dite : cette protection peut \u00eatre contourn\u00e9e ! Pour cela, vous n\u2019avez m\u00eame pas besoin d\u2019\u00eatre le roi des hackers \u2013 la seule comp\u00e9tence que vous devez poss\u00e9der est une connaissance m\u00e9diocre des principes de l\u2019OS des mobiles modernes (Android dans notre cas). Android est un syst\u00e8me d\u2019exploitation relativement s\u00e9curis\u00e9, principalement parce que les d\u00e9veloppeurs tiers ne sont pas autoris\u00e9s \u00e0 toucher au noyau.<\/p>\n<p>En contr\u00f4lant totalement les processus et les normes de d\u00e9veloppement, Google peut garantir la stabilit\u00e9 \u00e0 la fois pour le noyau et les applications d\u2019origine. Mais lorsqu\u2019il s\u2019agit de d\u00e9veloppeurs tiers, le syst\u00e8me est toujours en \u00e9tat d\u2019alerte, et c\u2019est la raison pour laquelle Google permet \u00e0 un utilisateur de supprimer n\u2019importe quelle application lente, d\u00e9faillante, ou tout simplement ennuyeuse.<\/p>\n<p>Pour supprimer une appli qui emp\u00eache un smartphone Android de charger avec succ\u00e8s, il existe plusieurs \u00e9tapes faciles :<\/p>\n<ul>\n<li>Appuyez et maintenez le bouton \u00a0\u00bb\u00a0On\u00a0\u00ab\u00a0, choisissez l\u2019option \u00ab\u00a0Mise hors tension\u00a0\u00bb dans le menu pop-up puis appuyez et maintenez-le pendant quelques secondes (peut varier selon le mod\u00e8le).<\/li>\n<li>Dans le menu pop-up qui suit, choisissez \u00ab\u00a0Red\u00e9marrer en Safe Mode\u00a0\u00bb.<\/li>\n<li>Apr\u00e8s le red\u00e9marrage, cherchez une appli \u00a0\u00bb\u00a0Google Play\u00a0\u00a0\u00bb (la plupart des applis seront cach\u00e9es de l\u2019\u00e9cran), puis choisissez ensuite \u00a0\u00bb\u00a0toutes les applis\u00a0\u00a0\u00bb et cherchez celle que vous souhaitez.<\/li>\n<li>Choisissez l\u2019application qui vous pose probl\u00e8me (TapUnlock, dans mon cas) et cliquez sur \u00ab\u00a0D\u00e9sinstaller\u00a0\u00bb.<\/li>\n<li>Appuyez et maintenez le bouton \u00ab\u00a0Power\u00a0\u00bb pendant plusieurs secondes et red\u00e9marrez en mode normal.<\/li>\n<\/ul>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/wLKAvaWkjhM?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>Cela signifie donc qu\u2019aujourd\u2019hui, il est totalement possible de d\u00e9sactiver toute application tierce utilis\u00e9e \u00e0 des fins d\u2019authentification en suivant ces \u00e9tapes faciles. Cela signifie que toutes les applis sont consid\u00e9r\u00e9es peu fiables par Google, surtout si elles ont tendance \u00e0 \u00e9chouer soudainement, ou si celles-ci sont susceptibles d\u2019\u00eatre corrompues ou infect\u00e9es. Tout peut arriver.<\/p>\n<p>Apple et Microsoft suivent la m\u00eame strat\u00e9gie. De ce fait, afin de d\u00e9ployer un moyen d\u2019authentification par biopuce de mani\u00e8re fiable, pratique, stable et s\u00fbre puis de dire adieu aux bon vieux mots de passe, un travail s\u00e9rieux doit \u00eatre effectu\u00e9 \u2013 aussi bien au niveau du noyau du syst\u00e8me d\u2019exploitation qu\u2019au niveau logique de la puce. Plusieurs \u00e9l\u00e9ments doivent \u00eatre pens\u00e9s en vue d\u2019\u00eatre d\u00e9ploy\u00e9s\u00a0: chiffrement asym\u00e9trique, authentification \u00e0 deux facteurs, et d\u2019autres moyens de s\u00e9curit\u00e9 sont quelques-uns des \u00e9l\u00e9ments qui me viennent \u00e0 l\u2019esprit.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"fr\" dir=\"ltr\">Chronique d'un homme Bionic, N\u00b02 : Quand la puce se d\u00e9place\u2026 <a href=\"https:\/\/twitter.com\/hashtag\/Bionicmandiary?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Bionicmandiary<\/a> avec <a href=\"https:\/\/twitter.com\/cheresh?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@cheresh<\/a> <a href=\"http:\/\/t.co\/cRDPMZioGg\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/cRDPMZioGg<\/a> <a href=\"http:\/\/t.co\/cDBIDFSyT9\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/cDBIDFSyT9<\/a><\/p>\n<p>\u2014 Kaspersky France (@kasperskyfrance) <a href=\"https:\/\/twitter.com\/kasperskyfrance\/status\/575347411880656896?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">March 10, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>La bonne nouvelle est que les ing\u00e9nieurs de Google et Microsoft sont d\u00e9j\u00e0 sur les starting-blocks. Il m\u2019arrive d\u2019\u00eatre conscient du fait que #BionicManDiary puisse \u00eatre lu par les employ\u00e9s d\u2019Apple. C\u2019est pourquoi nous pouvons esp\u00e9rer un effort commun en vue de r\u00e9soudre tous ces probl\u00e8mes.<\/p>\n<p>Dans mon prochain blog je vous montrerai le processus effectu\u00e9 pour faire interagir les portes d\u2019entr\u00e9e de nos bureaux avec ma biopuce. Mais d\u2019abord et avant tout \u2013 je vous montrerai la corr\u00e9lation directe entre les biopuces et Star Wars.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>#BionicManDiary n\u00ba3\u00a0: celui o\u00f9 j\u2019ai contourn\u00e9 le mot de passe de mon #smartphone<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2Fb8ef&amp;text=%23BionicManDiary+n%C2%BA3%C2%A0%3A+celui+o%C3%B9+j%26rsquo%3Bai+contourn%C3%A9+le+mot+de+passe+de+mon+%23smartphone\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Comme toujours, c\u2019est avec grand plaisir que je r\u00e9pondrai \u00e0 vos questions, que vous pouvez poser dans les commentaires de cet article ou bien sur <a href=\"https:\/\/twitter.com\/cheresh\" target=\"_blank\" rel=\"noopener nofollow\">Twitter<\/a> ou <a href=\"https:\/\/www.facebook.com\/chereshcom\" target=\"_blank\" rel=\"noopener nofollow\">Facebook<\/a>.<\/p>\n<p>Bien cordialement,<\/p>\n<p>CHE<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Notre homme \u00e0 la puce NFC implant\u00e9e dans sa main, continue ses exp\u00e9rimentations. Ici il raconte comment il a contourn\u00e9 l&rsquo;authentification biom\u00e9trique d&rsquo;un appareil Android.<\/p>\n","protected":false},"author":7,"featured_media":4402,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6,1148],"tags":[59,29,386,1047,165,896,73,507,1045,82],"class_list":{"0":"post-4401","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"category-special-projects","9":"tag-android","10":"tag-apple","11":"tag-biometrie","12":"tag-bionic","13":"tag-ios","14":"tag-iphone-6","15":"tag-mot-de-passe","16":"tag-nfc","17":"tag-puce","18":"tag-smartphone"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/homme-bionique-contourne-mot-de-passe-smartphone\/4401\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/android\/","name":"android"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/4401","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=4401"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/4401\/revisions"}],"predecessor-version":[{"id":14275,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/4401\/revisions\/14275"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/4402"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=4401"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=4401"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=4401"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}