Alors que le monde de la technologie évolue vers un avenir sans mot de passe et une dépendance croissante à l'authentification biométrique , nous devons compter sur quelque chose d'étonnamment simple et puissant qui pourrait saper nos vies numériques : le mot de passe du téléphone . Ce code numérique simple, le plus souvent composé de quatre chiffres , permet en effet non seulement d'accéder à notre smartphone, mais, en quelques étapes seulement, de changer également le mot de passe de notre compte Google et éventuellement les mots de passe des comptes bancaires et plus encore, pour obtenir à une véritable usurpation d'identité . L'histoire est tirée d'un article du Wall Street Journal dans lequel la journaliste Joanna Stern, grâce à ses contacts avec la police, révèle à quel point il est étonnamment facile pour un attaquant d'obtenir le code d'accès à un iPhone, par exemple en demandant à partager une photo que vous venez de prendre . Après avoir volé l'appareil, le voleur peut accéder à toutes les informations personnelles et même changer le mot de passe Apple ID , avec toutes les conséquences de l'affaire exposée au début. Mais ce n'est pas une affaire réservée au monde des pommes . Le célèbre Mishaal Rahman a en effet démontré comment les utilisateurs d'Android sont également exposés au même danger. Si un voleur qui a volé votre téléphone connaît votre code d'accès , il peut changer le mot de passe de votre compte Google en quelques étapes :



Vous vous demandez peut-être où vont les autres moyens de connexion , comme l'authentification à deux facteurs ou les empreintes digitales . Le problème est que l'authentification à deux facteurs peut facilement être contournée en utilisant la méthode " Appuyez sur Oui sur votre téléphone ou votre tablette " lors de la connexion à votre compte Google. Et évidemment le téléphone est entre les mains de l'agresseur. Quant à l'authentification biométrique , elle est remplacée par le code d'accès, qui est en effet requis comme alternative. Et qu'en pense Google ? Interrogée à ce sujet, BigG a répondu laconiquement qu'elle cherchait toujours des moyens d'améliorer la sécurité des comptes des utilisateurs afin de protéger les données sensibles et l'accès à l'abri des criminels. La maison de Mountain View affirme que leurs politiques de connexion et de récupération de compte tentent de trouver un équilibre entre permettre aux utilisateurs légitimes de conserver l'accès à leurs comptes dans des scénarios réels et empêcher les méchants d'entrer . La possession physique d' un téléphone et la connaissance du code d'accès sont, en général, des signaux forts de propriété de l'appareil que nous utilisons quotidiennement pour contrecarrer les attaques contre les comptes d'utilisateurs et pour aider les utilisateurs légitimes à retrouver l'accès dans des scénarios courants, tels que l'oubli du mot de passe de votre compte.

Selon Google, il existe des mécanismes de récupération raisonnables et limités dans le temps, tels que le numéro de téléphone ou l'e-mail de récupération, tant qu'ils ont été configurés. Alors nos problèmes ? Partiellement. Les experts et Google conseillent tout d'abord de définir un code alphanumérique pour accéder au téléphone, afin de le rendre plus difficile à reconnaître. Il est également recommandé de toujours utiliser l'authentification biométrique pour l'accès (pour rendre plus difficile pour un attaquant de voir le code PIN) et de mettre en place une authentification à deux facteurs et un numéro de téléphone ou un e-mail de récupération . Bien sûr, le code alphanumérique est un autre mot de passe à retenir et ne peut pas être saisi dans un gestionnaire de mots de passe , mais pour le moment, du moins jusqu'à ce que Google et Apple modifient leurs politiques autorisant la réinitialisation des mots de passe via une méthode d'authentification unique, c'est la seule solution.