Tout le monde peut déverrouiller votre smartphone Android sans mot de passe (mettez vite à jour)

Une faille dans Android permet à quiconque de déverrouiller un smartphone Android très simplement. Mettez vite à jour votre appareil.

L’écran de verrouillage de votre smartphone est censé être le dernier rempart entre le monde et votre vie numérique. Lorsque verrouillé, le téléphone ne peut pas être déverrouillé sans le code, votre visage ou votre empreinte digitale. Si vous le perdez ou que quelqu’un vous le vole, vous n’avez pas à crainde que quelqu’un fasse quoi que ce soit avec. Mais malheureusement, à l’heure d’écrire ces lignes, ils sont nombreux à pouvoir le faire.

Comme le rapporte BleepingComputer, le chercheur en cybersécurité David Schütz a découvert une faille pour déverrouiller un Google Pixel 6 et Pixel 5 sans avoir le mot de passe. Cela est arrivé après que son Pixel 6 est tombé à court de batterie, et après qu’il a entré le mauvais code PIN trois fois. Sa carte SIM a alors été verrouillée. Il a donc saisi le code PUK pour la réactiver.

Cependant, une fois la carte SIM réactivée, le Pixel lui a demandé de scanner son empreinte digitale. Cela ne devrait pas arriver dans la mesure où les Pixels (comme la majorité des smartphones) demandent d’entrer le code pour se déverrouiller après un redémarrage. Vous ne devriez pas avoir la possibilité d’utiliser votre empreinte digitale pour déverrouiller le smartphone avant un déverrouillage réussi via le code.

David Schütz a donc vu là une faille de sécurité légitime. Si un attaquant insert sa propre carte SIM dans un smartphone Android, qu’il entre le mauvais code SIM trois fois, il peut alors saisir le code PUK pour se créer un nouveau PIN SIM. Une fois fait, il peut alors contourner l’écran de verrouillage et accéder au téléphone. Vous pouvez voir le déroulé du processus dans la vidéo ci-dessous :

David Schütz a transmis sa découverte à l’attention de Google en juin dernier. Il aura fallu cinq mois à la firme de Mountain View pour proposer un correctif, mais celui-ci est disponible. Difficile de savoir depuis combien de temps cette faille existe, mais elle a pu mettre à risque des dizaines de millions d’appareils Android.

Comment corriger cette faille Android

Si vous avez un smartphone sous Android 10, 11, 12 ou 13, il faut installer la mise à jour de sécurité de novembre 2022 pour corriger la vulnérabilité. Si vous l’avez déjà fait, c’est bon. Dans le cas contraire, ne tardez pas !

Pour installer un correctif de sécurité, allez dans Paramètres > Système > Mise à jour système, puis demandez à l’OS de chercher une nouvelle mise à jour. S’il y en a une disponible, téléchargez-la et installez-la. Vous pouvez aussi vérifier les mises à jour de sécurité dans Paramètres > Sécurité > Vérification de sécurité Google.