Justin Engler et Paul Vines, deux spécialistes de la sécurité vont présenter à la Black Hat Conférence qui va se dérouler à Las Vegas la semaine prochaine, un robot capable de craquer le code PIN de certains terminaux mobiles. Le robot s'appelle R2B2, pour Robotic Reconfigurable Button Basher, et il a coûté moins de 200 dollars pour sa fabrication. Il est composé de trois servomoteurs, un stylet en plastique, un microcontrôleur Open Source Arduino, quelques pièces imprimées en 3D et une webcam pour regarder l'écran du smartphone et vérifier que le code a été tapé avec succès. Ce robot peut être connecté via USB à un Mac ou un PC qui exécute un logiciel de craquage de code. Concrètement, R2B2 saisit de manière rapide et régulière les différentes combinaisons d'un code PIN (10 000 possibilités avec les 4 chiffres) jusqu'à ce qu'il trouve la bonne formule.

Cette méthode aussi appelée force brute ne fonctionne pas avec l'ensemble des terminaux mobiles, souligne Justin Engler. Ainsi sur les iPhone, si on tape des mauvais codes PIN plusieurs fois, le terminal peut se verrouiller et effacer toutes les données. Les deux chercheurs ont jeté leur dévolu sur des smartphones Android qui n'avait pas de contrôle aussi contraignant. Ainsi, une attente de 30 secondes était observée toutes les 5 mauvaises frappes du code PIN. Avec ce paramètre, le robot peut automatiser 5 codes PIN toutes les 35 secondes, soit un total de 19 heures et 24 minutes pour venir à bout de 10 000 combinaisons.

Pour Justin Engler interrogé par nos confrères de Forbes, la réalisation du robot n'est pas révolutionnaire en soi, mais elle pointe du doigt les faiblesses du code PIN à 4 chiffres. « Si je suis PDG, un code PIN à 4 chiffres est un problème, car en moins de vingt heures quelqu'un peut avoir accès à mes informations confidentielles ». La réponse d'augmenter de 4 à 6 chiffres ce code ne suscite pas l'adhésion du spécialiste de la sécurité en indiquant que R2B2 mettrait environ 80 jours pour en venir à bout. Les deux chercheurs ne comptent pas s'arrêter là et prévoit des évolutions de leur machine, notamment en intégrant des électrodes et non des doigts pour stimuler les écrans tactiles avec des impulsions électriques. Ce robot se dénommera, C3BO, Capacitative Cartesian Coordinate Brute-force Overlay.