Les utilisateurs d'appareils Android peuvent déverrouiller l'écran en entrant un schéma. Cette fonction est pratique et donc populaire, mais moins sécurisée que le verrouillage avec un code PIN. Une équipe de recherche internationale recommande ainsi de mettre en place une liste de blocage sur les appareils Android qui interdit les 100 motifs les plus populaires, donc les plus faciles à deviner. La façon précise dont cela doit être créé a été étudiée par Philipp Markert de l'Institut Horst Görtz pour la sécurité informatique de la Ruhr-Universität Bochum avec des collègues de l'Université George Washington et de la marine américaine.

L'équipe dirigée par le professeur Adam Aviv de l'Université George Washington présentera les résultats lors du symposium USENIX sur la confidentialité et la sécurité utilisables, qui se tiendra du 8 au 10 août sous forme de conférence virtuelle. Les données sont disponibles à l'avance sous la forme d'une préimpression librement accessible.

A quoi ressemblent les modèles Android les plus populaires

"Alors que le code PIN à quatre chiffres permet aux utilisateurs 10 000 combinaisons différentes, il peut théoriquement y avoir 389 112 versions des modèles Android qui sont dessinées sur une grille trois par trois", explique Collins Munyendo, premier auteur de la publication de l'Université George Washington. . "Cependant, les utilisateurs ne tirent pas le meilleur parti de ces options." Dans les régions du monde où les gens lisent du haut à gauche vers le bas à droite, les motifs sous forme de lettres, comme un Z, un L ou un W, sont particulièrement populaires. Environ 49 % de tous les modèles commencent en haut à gauche; 32,5 % se terminent en bas à droite, ce qui permet aux attaquants de deviner plus facilement un modèle.

Diverses listes de blocage mises à l'épreuve

Dans l'étude en ligne actuelle, l'équipe de recherche a testé comment les listes de blocage de différentes longueurs affectent la sécurité et la convivialité. Ils ont demandé à 1 006 personnes de sélectionner un nouveau schéma de déverrouillage. Certains des participants ont pu choisir parmi toutes les possibilités théoriquement imaginables (groupe témoin); certains modèles ont été exclus pour les cinq autres groupes, cinq listes bloquées de longueurs différentes ayant été utilisées. Si un utilisateur sélectionnait un modèle bloqué, il recevait un avertissement et devait entrer un nouveau modèle.

Les chercheurs avaient identifié dans une étude antérieure quels étaient les modèles Android les plus populaires. La plus courte des cinq listes de blocage testées contenait les douze modèles les plus populaires de l'étude précédente, la liste de blocage la plus longue contenait les 581 modèles les plus populaires.

Liste de blocage avec 100 modèles recommandés

"La liste de longueur moyenne avec 100 modèles bloqués est le meilleur compromis entre sécurité et convivialité", résume Miles Grant de l'Université George Washington. Avec cette liste de blocage, les utilisateurs ont mis en moyenne 19 secondes pour sélectionner un modèle non bloqué. A titre de comparaison :un motif a été sélectionné en 13 secondes dans le groupe contrôle. Une fois qu'un modèle avait été choisi, les utilisateurs pouvaient bien s'en souvenir :99,54 % se souvenaient correctement du modèle qu'ils avaient défini, alors que le chiffre était de 100 % dans le groupe témoin.

La sécurité augmente, même avec la liste de blocage la plus courte

Les chercheurs ont également vérifié dans quelle mesure les listes de blocage affectaient la sécurité des modèles. Ils ont simulé la facilité avec laquelle un attaquant pouvait deviner le motif d'un téléphone portable volé. Sans liste de blocage, les chances de succès étaient de 23,7 % après 30 tentatives de supposition. Avec la liste de blocage la plus longue, il était de 2,3 %. La liste recommandée avec 100 modèles bloqués a réduit les chances de succès à environ 7,5 %.

"Une liste de blocage avec 100 entrées augmenterait donc déjà considérablement la sécurité, mais ne nécessiterait que peu d'efforts supplémentaires de la part des utilisateurs lors de la configuration", résume Philipp Markert. "La mise en page avec des grilles trois par trois, que les utilisateurs connaissent et apprécient, resterait inchangée." Contrairement à cela, d'autres idées pour améliorer la sécurité des modèles Android comprenaient une grille quatre par quatre ou une disposition aléatoire des points de la grille sur l'écran.