Code PIN – Un robot pour (presque) tous les craquer.

Deux chercheurs en sécurité informatique (Justin Engler et Paul Vines) vont présenter, lors de la prochaine édition de la célèbre conférence Black Hat à Las Vegas, leur robot permettant de trouver le code PIN de certains terminaux par un craquage de type force brute (en saisissant toutes les combinaisons possibles).

Cette démonstration est uniquement applicable aux terminaux qui se déverrouillent par la saisie des 4 chiffres du code PIN ET qui ne contiennent pas de système de blocage empêchant tout accès au téléphone au bout de quelques essais erronés.

De même, ce système ne fonctionne pas avec les appareils qui ont un motif graphique de déverrouillage comme on peut en trouver sur Android.

Ce robot répondant au doux nom de R2B2 (Robotic Reconfigurable Button Basher) est un « robot parallèle » dont la mécanique peut paraître simple (mais en réalité bien plus complexe à mettre en œuvre qu’il n’y paraît), permet de réaliser des déplacements courts aussi rapides que précis.

R2B2 aura coûté en tout un peu plus de 150€ à ses concepteurs.

La partie mécanique est actionnée par trois servomoteurs contrôlés par Arduino, le tout relié à un PC Windows ou un Mac exécutant le programme de reconnaissance.

Les pièces assurant la liaison servo/baguettes ont été imprimées sur une imprimante 3D.

Une petite caméra à 5$ (3,80€ !), l’œil du système, scrute l’écran du téléphone et détecte quand ce dernier se déverrouille.

Ce petit robot est capable d’exécuter les 10 000 combinaisons possibles pour un code PIN à 4 chiffres, en un peu moins de 20 heures (19h et 24min pour être précis).

Bien que n’étant ni le premier, ni particulièrement révolutionnaire dans sa conception, ce petit robot a le mérite de mettre en lumière les failles des codes PIN à 4 chiffres qui peuvent être facilement mis à mal grâce à des technologies accessibles et abordables.

Les deux chercheurs indiquent également que l’utilisation de 6 chiffres ne réglerait pas pour autant le problème car R2B2 en viendrait à bout en un peu moins de 80 jours.

Ils indiquent également que ce système de craquage par force brute serait potentiellement applicable à l’ensemble des systèmes non sécurisés par un nombre limite de fausse manœuvres tolérées comme les digicodes d’immeubles, de chambres d’hôtels, de petits coffres-forts…

Une évolution de R2B2 est en cours de développement avec cette fois-ci, des électrodes pour stimuler directement l’écran capacitif et remplacer ainsi le contact physique.

Ce nouveau robot s’appellera C3B0 (Capacitative Cartesian Coordinate Brute-force Overlay), oui ils étaient inspirés ce jour-là. 😉

Une chose est sûre, il est toujours impressionnant de constater qu’à l’heure du tout numérique et de l’avènement de nouvelles technologies de pointe toujours plus performantes; que la combinaison d’un peu d’ingéniosité et de bon vieux crack, soit toujours aussi efficace. 🙂

Et vous … allez-vous de ce pas modifier vos paramètres de sécurité ?