Android 17 introduit une limite stricte sur les tentatives de saisie du code de déverrouillage, rendant caduques les outils de brute force utilisés pour forcer l’accès aux smartphones verrouillés.

Pendant des années, un voleur suffisamment patient ou équipé pouvait théoriquement tester des centaines de combinaisons sur un Android verrouillé. Les outils spécialisés de brute force, qui automatisent les essais de codes de déverrouillage, ont longtemps constitué une menace réelle pour les données personnelles stockées sur les smartphones. Android 17 referme cette fenêtre, en imposant des plafonds d’essais bien plus contraignants qu’auparavant. Ce que Google avait esquissé lors de l’Android Show en mai dernier prend désormais forme concrète, et le changement est plus radical qu’il n’y paraît.
Android 17 renforce la sécurité du code face aux outils de brute force
La mécanique est simple à comprendre, mais son impact est considérable. Selon Digital Trends, le développeur Google Mishaal Rahman a détaillé le nouveau système de plafonnement des tentatives : sous Android 16, un attaquant disposait de 10 essais dans la première minute, 20 en 6 minutes, 50 en 25 minutes, 110 en 24 heures. Des seuils qui, combinés à des outils automatisés, laissaient une marge d’exploitation non négligeable.
Android 17 réduit drastiquement cette fenêtre. Le plafond global est fixé à 20 tentatives, point final. Au-delà, le système verrouille l’accès de façon permanente, sans possibilité de contournement par accumulation patiente d’essais. Concrètement, un outil de brute force qui misait sur des milliers de combinaisons testées sur plusieurs jours se retrouve neutralisé dès le 21ᵉ essai. C’est le genre de correction de fond que Google intègre sans fanfare, mais qui change structurellement le niveau de protection.
La stratégie de Google sur la sécurité mobile
Sauf que 20 tentatives, c’est aussi très peu pour un utilisateur légitime qui aurait oublié son code. Google a anticipé l’objection : des exceptions sont prévues pour les propriétaires du téléphone, via des mécanismes de récupération liés au compte Google. La limite stricte vise les accès non autorisés, pas les oublis du dimanche matin.

Ce durcissement s’inscrit dans une séquence cohérente. Google multiplie les couches de protection antivol depuis plusieurs mois, avec notamment le verrouillage automatique en cas de détection de mouvement suspect. L’ancienne astuce de contournement via l’interface d’appel d’urgence, qui exploitait des failles présentes jusqu’à Android 5, est depuis longtemps inopérante sur les versions récentes. Android 17 va plus loin en s’attaquant aux méthodes d’attaque plus sophistiquées, celles qui ne cherchent pas une faille logicielle mais simplement à épuiser les combinaisons possibles. Pour les utilisateurs du Pixel 10 et des appareils sous Android 17, la protection sera native dès le premier démarrage.
La vraie question, pour les millions d’utilisateurs Android, est celle du déploiement. Android 17 ne touchera pas d’un coup l’ensemble du parc, fragmenté entre constructeurs et opérateurs qui gèrent leurs propres calendriers de mise à jour. Les appareils les plus exposés, souvent les plus anciens et les moins bien maintenus, resteront vulnérables encore longtemps.