Danny Weber
Google durcit les limites de l’écran verrouillé dans Android 17: les essais de PIN à long terme passent de 1 800 à seulement 19.
Android 17 renforce nettement la protection des smartphones contre les attaques par brute force, où des criminels ou des outils spécialisés essaient automatiquement différents codes PIN. Ce scénario ne concerne pas seulement les voleurs après un appareil dérobé; dans certains cas, des services de police utilisent aussi des méthodes proches pour tenter de déverrouiller des téléphones saisis. Désormais, la marge de manœuvre est beaucoup plus réduite.
Dans Android 16, le système autorisait 10 essais de PIN durant la première minute, 20 dans les six premières minutes, 50 en 25 minutes, 110 en une journée et jusqu’à 1 800 essais sur cinq ans. Cette limite à long terme comptait beaucoup pour les outils de brute force: avec assez de temps, ils pouvaient tester une partie notable des combinaisons courantes à quatre chiffres.
Dans Android 17, les limites deviennent bien plus strictes. Seuls six essais sont possibles durant la première minute, sept en six minutes, huit en 25 minutes, 12 en une journée et seulement 19 essais sur cinq ans. Après 20 saisies incorrectes, le smartphone se verrouille complètement. Pour le test automatique de codes, cela casse presque le scénario: l’outil atteint rapidement la limite et ne peut plus continuer.
Même un PIN à quatre chiffres offre 10 000 combinaisons possibles, mais les nouveaux délais et le plafond ferme de 20 erreurs rendent le brute force pratiquement inutile. Google gère aussi plus finement les erreurs normales des utilisateurs: depuis Android 16 QPR2, si la même mauvaise PIN est saisie plusieurs fois d’affilée, le système ne la compte pas comme plusieurs tentatives séparées. L’écran verrouillé affiche également des messages plus clairs sur les essais restants et le temps d’attente.
Cette protection ne remplace toutefois pas les règles de base. Les PIN faibles comme 1234, 0000 ou une année de naissance peuvent toujours être devinés dès les premiers essais, tandis que le déverrouillage forcé par visage ou empreinte reste un risque à part. Le constat est simple: après Android 17, un PIN long et imprévisible devient encore plus important.
© A. Krivonosov