Ce pirate réussit à déverrouiller un Google Pixel et gagne 70 000 dollars

Thibaut Popelier
Spécialiste Gaming
11 novembre 2022 à 15h45
23
© Google
© Google

Trouver une faille de sécurité peut rapporter gros ! En effet, un hacker a été généreusement récompensé par Google pour avoir réussi à outrepasser le verrouillage d'un smartphone de la gamme Pixel.

Un souci qui a bien évidemment été corrigé grâce à cette trouvaille pour le moins étonnante.

Une vulnérabilité problématique

On peut parfois penser que nos smartphones sont protégés une fois le verrouillage de l'écran activé (par code PIN, empreinte digitale ou même reconnaissance faciale). Pourtant, si nous en croyons cette découverte faite par le chercheur en sécurité David Schütz, ce n'était pas vraiment le cas sur les mobiles de Google. Le principal intéressé s'est aperçu qu'il était finalement très facile de contourner les sécurités d'un Pixel 6 verrouillé.

Cependant, tout est rentré dans l'ordre puisque Google a déployé sa mise à jour de novembre dans le but de faire disparaître cette vulnérabilité nommée « CVE-2022-20465 ». Le signalement de Schütz s'est donc montré extrêmement utile. Si bien que la firme américaine lui a fait un joli chèque de 70 000 dollars pour le remercier.

Une faille simple à exploiter

Pour pouvoir déverrouiller un smartphone Pixel sans en être le propriétaire, il y avait quelques étapes relativement basiques à suivre. Déjà, il était nécessaire de fournir une empreinte digitale incorrecte jusqu'à ce que le mobile vienne réclamer le code PIN. Sans éteindre l'appareil, la personne devait alors insérer sa propre carte SIM avec un code préconfiguré.

Par la suite, il fallait taper le mauvais code à trois reprises pour afficher la demande du code PUK. Entrer ce dernier et configurer un nouveau code PIN suffisait pour conclure l'opération en déverrouillant le téléphone. Bref, une carte SIM était le seul équipement nécessaire pour pouvoir utiliser le Google Pixel comme si de rien n'était. Pas besoin d'être un hacker professionnel pour y parvenir.

Source : The Hacker News

Thibaut Popelier

Thibaut Popelier

Spécialiste Gaming

Spécialiste Gaming

Fan de jeux vidéo et de nouvelles technologies, je suis rédacteur dans ce milieu depuis déjà plusieurs années. J'aime partager ma passion à travers les news, tests et autres dossiers. J'adore aussi le...

Lire d'autres articles

Fan de jeux vidéo et de nouvelles technologies, je suis rédacteur dans ce milieu depuis déjà plusieurs années. J'aime partager ma passion à travers les news, tests et autres dossiers. J'adore aussi le catch et Harry Potter (et les chats bien sûr !)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (23)

ctalpaert42
La vulnérabilité vient d’une configuration où le code PIN se trouve uniquement sur la carte SIM. En appliquant un code PIN directement sur le téléphone, la faille n’existe plus.<br /> Ce qui pourrait être utile c’est que le téléphone stock le code PIN de la carte SIM. Ainsi l’utilisateur n’aurait que le code du téléphone à retenir et la carte SIM resterait protégée (un peu) en cas de vol et de tentative d’utilisation pour casser une protection MFA par exemple.
toto1234
Oula, ça c’est la boulette.
Bombing_Basta
Il manque un 0 au chèque vu la faille trouvée…
Blackalf
Lire l’article aurait évité toutes ces questions…
Kriz4liD
Ce genre de faille peu facilement être trouvé par un réparateur de téléphone par exemple .
Tolabd
Comme la brouette, après coup cela paraît simple, l’astuce est qu’il fallait y penser.
_J2B
C’est dommage de faire preuve de légère condescendance en sous-entendant qu’il n’a pas lu l’article. Alors que la réponse à sa question n’est pas dans l’article.<br /> Rien n’indique comment a été fait ce « signalement ».
Blackalf
La modération sait ce qu’il en est de certains membres, et lorsqu’ils créent des comptes à répétition après avoir été suspendus plusieurs fois pour leur attitude, l’indulgence n’est plus de mise. On verra combien de temps le dernier compte en date durera…
MattS32
ctalpaert42:<br /> La vulnérabilité vient d’une configuration où le code PIN se trouve uniquement sur la carte SIM. En appliquant un code PIN directement sur le téléphone, la faille n’existe plus.<br /> Non, l’accès au téléphone était bien protégé : le déverrouillage par empreinte digitale est activé (c’est bien dit qu’il faut commencer par le faire échouer trois fois), ce qui implique forcément aussi la présence d’un verrouillage par code (soit sous forme de schéma, soit sous forme de code numérique ou alpha numérique).<br /> C’est simplement un nième cas où certaines fonctionnalités (ici le déverouillage d’une SIM bloquée) sont accessibles volontairement sans déverrouiller le téléphone, mais où une faille permet ensuite de sortir de la fonctionnalité vers l’écran d’accueil sans passer par le déverrouillage. Ça arrive quasiment chaque fois qu’une fonctionnalité est laissée accessible sans déverrouiller (c’est arrivé avec l’appel d’urgence, avec l’appareil photo, avec les notifications…).
gamez
je l’ai lu mais je n’ai pas trouvé donc je suis étonné de ce que tu dis.<br /> bref peux tu mettre en citation de l’article la réponse aux fameuses questions? car elles m’interessent aussi.
gamez
Un 0 de trop oui, en enfant aurait pu en faire autant …<br /> facile à dire une fois que la méthode a été dévoilée<br /> en tout cas en attendant, la prime n’est pas allée dans la poche d’un enfant
MattS32
Peggy10Huitres:<br /> Certes, mais aucunes compétences en Hacking n’était nécessaire en fait …<br /> Réussir à trouver ce genre de procédure, qui n’a rien de naturel, ça fait bien partie des compétences d’un hacker…<br /> Peggy10Huitres:<br /> Par hasard ou par chance Mme Michu aurait pu en faire autant !<br /> Mouais… Foirer x fois la reconnaissance d’empreinte, puis changer la SIM, foirer x fois le code PIN et faire une réinitialisation PUK, je connais aucune Mme Michu qui risque de faire ça par hasard…
MattS32
Peggy10Huitres:<br /> Moi ca me parait pas ouf ! quand t’arrives pas à déverrouiller d’insérer ou remettre la sim, de ne plus se rappeler du PIN et d’arriver sur le PUK par défaut …<br /> Mouais… Avec le trombone sous la main pour sortir la SIM, qui doit avoir un code (ce que déjà beaucoup de gens ne font plus, pensant que celui du téléphone suffit)…<br /> Puis après, faut encore réussir à retrouver son code PUK…
rilwane12
Cela ne marche que si le téléphone avait été déverrouillé une fois après le démarrage. La mémoire étant chiffrée, cette méthode ne marcherait pas sur un téléphone éteint.
madforger
Le type est chercheur en sécurité et on le qualifie de pirate et de hacker… du grand n’importe quoi !
leulapin
ça n’est pas incompatible et ça a d’ailleurs posé de sérieux pb légaux en France en menaçant légalement la recherche privée de failles.
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Une faille dans Apple Pay et Visa permettrait à des pirates de payer sans contact sur iPhone Une faille dans Apple Pay et Visa permettrait à des pirates de payer sans contact sur iPhone
Apple corrige discrètement une faille dans iOS 15 (et refuse de créditer le chercheur qui l'a trouvée) Apple corrige discrètement une faille dans iOS 15 (et refuse de créditer le chercheur qui l'a trouvée)
Comment sécuriser son smartphone avant d'aller en manifestation ? Comment sécuriser son smartphone avant d'aller en manifestation ?
La PS5 (et la PS4) hackées via... leur émulateur PS2 La PS5 (et la PS4) hackées via... leur émulateur PS2
La Google Pixel Watch sera dotée d'une fonctionnalité fort utile La Google Pixel Watch sera dotée d'une fonctionnalité fort utile