Un chercheur en sécurité est tombé par hasard sur une faille de sécurité massive qui permettait à un voleur de rentrer dans votre smartphone sans avoir besoin de votre mot de passe ou votre empreinte digitale.
La trouvaille par sérendipité qui peut sauver des Pixel
C’est un hasard complet qui a mené ce chercheur à trouver une faille colossale. David Schütz n’avait plus de batterie dans son Pixel 6. Il s’est alors éteint et il a accouru chercher un chargeur pour le recharger. Son téléphone lui demande alors le code PIN de sa carte SIM. Sauf que dans la précipitation, impossible de s’en souvenir. Il fait donc 3 mauvais codes et se retrouve à devoir chercher le fameux code PUK. Il rentre et se rend compte que son téléphone démarre sans demander le mot de passe. Il se retrouve alors face à l'écran de verrouillage qui lui demande son empreinte, et hop déverrouillé.
Pour les personnes qui ne voient pas le problème, il est nécessaire de rentrer le mot de passe au moins une fois au démarrage pour pouvoir utiliser l’empreinte digitale. C’est alors qu’il se dit qu’il y a dû avoir un bug et qu’il va falloir qu’il le reproduise.
Son enquête le mène à une grande découverte
Le lendemain, le chercheur a recommencé les mêmes étapes et la même chose s’est produite. Il n’y avait pas de hasard là. Il a donc essayé de simplifier au maximum la manipulation et surtout voir si une personne extérieure avec sa propre carte SIM pouvait faire la même chose.
“L'attaquant pouvait simplement échanger la carte SIM dans l'appareil de la victime et exécuter l'exploit avec une carte SIM dotée d'un verrou PIN et pour laquelle l'attaquant connaissait le code PUK correct.”
Il a aussi testé la manip sur un Pixel 5 et cela semble toucher tous les Pixel de Google. Il s’est alors empressé d'envoyer un rapport au géant américain. Sauf que les choses ont traîné. Dans les conditions de Google, le chercheur était éligible à une récompense pouvant aller jusqu’à 100 000 dollars. Il a donc régulièrement relancé. Jusqu’à qu'un jour il reçoive une réponse automatique pour lui dire que sa déclaration est un doublon et qu’un autre chercheur l’a déjà signalé avant. Dommage pour les 100k…
Google réagit enfin
Quelques mois plus tard, en allant à un événement Google, les Pixel reçoivent une mise à jour de sécurité. Il essaye alors dans sa chambre d'hôtel de refaire la manip et cela fonctionne. Non, Google n’avait toujours pas résolu la faille.
Il a alors contacté Google en donnant une date de divulgation de la faille au 15 octobre. Google mécontent a expliqué que ce n’était pas possible et qu’il allait falloir attendre décembre. Ils se sont ravisés et on dit qu’en novembre ce serait réglé. Malgré le fait que cela soit un doublon, c’est grâce à son signalement que l’équipe Google a corrigé. Il a donc obtenu 70 000 dollars de récompense. Il a alors attendu le correctif pour publier son rapport.