Le GrayKey, ce boîtier utilisé notamment par les pouvoirs américains pour déverrouiller des iPhone dans le cadre d’enquêtes, rappelle qu’à la base de la sécurité de l’iPhone — et de tous les autres smartphones —, il y a le code défini par l’utilisateur. Il faut au GrayKey en moyenne moins d’une demi-journée pour déverrouiller un iPhone protégé par un code standard comportant 6 chiffres.
En complexifiant la clé, on complique la tâche de ce boîtier qui opère par force brute, c’est-à-dire qui teste constamment des codes jusqu’à trouver le bon, et ce en contournant les mesures d’iOS qui sont censées le ralentir. Les options que nous allons vous présenter ne sont pas nouvelles, mais une piqûre de rappel ne fait jamais de mal, surtout à l’heure où circule une solution de déverrouillage beaucoup plus abordable que ce qui était connu jusqu’à présent — un GrayKey coûte 15 000 $ pour 300 iPhone, quand Cellebrite, un autre spécialiste, fait payer 5 000 $ pour un iPhone seulement.
Si vous n’avez pas changé le type de code lors de la configuration initiale de votre iPhone, vous pouvez le faire à tout moment dans Réglages > Touch/Face ID et code > Changer le code. Après avoir tapé votre code actuel par mesure de sécurité, touchez Options supplémentaires. Trois options s’offrent alors à vous : Code alphanumérique perso, Code numérique perso et Code à 4 chiffres. On déconseille vraiment la dernière option, qui est la moins robuste d’entre toutes.
Code alphanumérique perso permet de définir un code contenant seulement des chiffres, des chiffres et du texte, ou seulement du texte. Les conseils sont les mêmes que pour n’importe quel mot de passe : choisissez un code unique, mais dont vous pouvez vous souvenir, et long. Pensez que vous n’aurez pas si souvent à taper ce code grâce à Touch ID ou Face ID, et que vous pouvez donc en choisir un qui prenne un peu plus de deux ou trois secondes à taper. iOS vous avertira de toute façon si le code défini est trop faible.
Code numérique perso, qui a été introduit dans iOS 9, permet de créer un code numérique plus long que six chiffres (ou plus court, jusqu’à trois chiffres, mais on le déconseille catégoriquement).
C’est une bonne solution si vous ne voulez pas taper sur les petites touches du clavier complet du code alphanumérique. Par contre, attention aux « astuces » pour prolonger facilement votre code, comme doubler chaque chiffre ou répéter plusieurs fois un chiffre, les système de déverrouillage les prennent parfois en compte pour accélérer l'attaque. Pour revenir à lui, le GrayKey a besoin en moyenne de 46 jours pour casser un code à 8 chiffres et 4 629 jours pour un à 10 chiffres. Et combien pour le code de l'utilisateur dans la vidéo ci-dessous ?
