Danielpage.com

Les Pages de Daniel Page, un anglais en France :-)

• Home
• Mon CV
• Identifier quelle règle RewriteRule correspond à un url
• Relevés de radioactivité

Code PIN à 4 chiffres : le fait de répéter un des chiffres double sa sécurité

Les téléphones mobiles et cartes bancaires notamment utilisent des codes PIN de 4 chiffres pour se déverrouiller. Pour déverrouiller ou accéder à un compte protégé par ce code, il y a 4 chiffres, par exemple 2486, chacun avec une valeur possible de 0 à 9, soit 10^4 (10 à la puissance 4 ou 10 * 10 * 10 * 10) => 10 000 combinaisons… donc en commençant par 0000, 0001, 0002, 0003…. et en finissant par 9999 avant de tomber quelque part entre les 2 sur le bon…

Mais le mode de la sécurité numérique est complèxe, et même si une attaque mathématique « brute », en testant valeur par valeur, est possible, il y a peut être une méthode pour simplifier la chose et trouver une réponse plus facilement et plus rapidement. On va s’attaquer en premier non pas au problème mais à son environnement et sa situation : un « side channel attack » dans la sécurité anglo-saxon…. car il y a moyen, avec un peu de chance, de réduire ce chiffre de 10 000 à 24. Comment ? Les traces de doigts laissent des traces, et notamment sur les écrans des smartphones, mais potentiellement aussi sur un distributeur de billets « préparée »… S’il y a moyen de récupérer l’emplacement des touches frappées en analysant les empreintes de doigts , qui laissent des traces dans la poussière ou des dépôts de gras, un malfrat peut savoir instantanément quelles touches viennent d’être activés… il lui reste à déterminer l’ordre, donc de 10^4 on tombe à 4! (4*3*2*1), car les chiffres sont connues et les combinaisons représentent simplement les permutation de ces 4 valeurs dorénavant connus… donc notre PIN 2486 : essayons 2468, 4268, 2486… Ah, ça y est, votre compte bancaire vient d’être vidé…

Comemnt donc un PIN avec 3 chiffres différents peut être plus sécurisé que 4 ? Prenons donc le PIN suivant 2446.

Pour une attaque brute, il y a toujours 10 000 combinaisons, mais même en repérant les touches utilisés (2, 4 et 6), le malfrat sait qu’il y a toujours 4 chiffres, et donc forcément un des chiffres est doublé, la difficulté est de déterminer lequel.

Revenons à nos maths :

, mais une des touches est répétée, simplifiant donc le résultat l’opération donc les combinaisons possibles sont du coup (4! / 2!) * 3 :

• 4*3*2*1 = 24
  Il y a toujours 4 chiffres, donc 4! (=24)  est toujours valide au départ…
• 24 / 2 = 12
  Un même chiffre est utilisé 2 fois, divisant par 2 les combinaisons pour 1 permutation, laissant 12 permutations
• 12 * 3 = 36
  12 n’est vrai que si c’est le premier chiffre du code PIN qui est doublé mais ça pourrait être n’importe quel des 3, donc 12*3 = 36

Un code PIN de 4 chiffres avec 4 chiffres différents et un ordre inconnu donne 24 permutations.

Un code PIN de 4 chiffres avec 3 chiffres différents et un ordre inconnu donne 36 permutations, et est donc 50% plus sécurisé.

Cette règle de sur-sécurisation s’il y a un chiffre de la combinaison doublée n’est vraie que pour les codes contenant 4 chiffres ou plus : Pour un PIN de 3 chiffres, le fait de doubler un numéro divise par 2 la sécurité : un code PIN de 3 chiffres distincts n’a que 6 permutations, et un PIN de 3 chiffres avec 2 chiffres distincts n’a plus que 3 permutations possibles :

• 3 chiffres uniques : 132, 123, 231, 213, 321, 312
• 3 chiffres dont 2 uniques : 122, 212, 221

Mitigation du risque :

• Nettoyer régulièrement les touches que l’on utilise. Ceci s’applique surtout aux smartphones, mais ça pourrait bien s’appliquer aux distributeurs de billets ou aux digicodes (qui souvent ont même des touches usés et cassés tellement le même code est répété sur le clavier), ou même aux boîtier de contrôle des alarmes… tout ce qui comporte un digicode en fait…
• Utiliser des codes PIN de plus de  4 chiffres, idéalement avec 1 chiffre répété, car non seulement ce code sera 50% plus sécurisé si un malfrat découvre les touches mais pas l’ordre, il y a aussi une chance qu’il pensera – légitimement – que dans ce monde de codes à 4 chiffres, vous ne faites pas exception à la règle, et ne pensera pas qu’il faut tenter avec un 5°…

16.01.2012 · admin · Pas de commentaires
Posté en: Non classé

• « Previous post
• Next post »

• Recherche

• Archives

  • février 2012
  • janvier 2012
  • novembre 2011
  • octobre 2011
  • mai 2011
  • avril 2011
  • mars 2011
  • février 2011
  • décembre 2010
  • novembre 2010
  • octobre 2010

• Administration

  • Connexion
  • Flux RSS des articles
  • RSS des commentaires
  • WordPress.org