XPIN Clip pour casser les codes PIN des anciens smartphones / fournir la clé aux forces de l'ordre

Nous parlons beaucoup des méthodes d’attaques assimilables à de la cybercriminalité, qu’elles soient utilisées par des cybercriminels ou des auditeurs mandatés par le client, mais nous parlons finalement peu des solutions légales, utilisées par les forces de l’ordre.

XPinClip propose un petit boitier à 300€, permettant de casser directement ou par force brute, les codes PIN d’un certain nombre de smarphones : http://xpinclip.com/index.php

xpinclip

Par contre, comme vous pouvez vous en douter, cette solution ne supporte que d’anciennes versions des systèmes :

  • iOS 7.x.x: 4 digit Passcode from all devices working on iOS 7.x.x
  • iOS 8.0-8.1: 4 digit Passcode from iPhones working on iOS 8.0-8.1
  • Macbook EFI: 4 digit Passcode from Macbook (un peu hors sujet, mais l’appareil supporte également macOS)
  • ANDROID PIN: 4 to 8 digit PIN code from miscellaneous Android 4.x.x/5.x/6.x devices
  • HTC PIN: 4 to 8 digit PIN code from HTC Android devices
  • SAMSUNG BACKUP PIN 4.X/5.X: 4 to 8 digit Backup PIN, available after 5 wrong attempts
  • SONY PIN: 4 to 8 digit PIN code from Sony Android 4.3+ devices
  • PATTERN: build-in 4 and 5 digits (dots) PatternLock (SWIPE) and all 4 to 9 digits (dots) PatternLock via Pattern Adapter
  • MOUSE PIN: 4 digit PIN via MOUSE in phones with blocked keyboard support Android 4.x.x/5.x/6.x devices

La vitesse d’attaque n’est pas transcendante, mais suffit pour des codes PIN simples, basé sur des chiffres.

A noter qu’en France, les forces de l’ordre peuvent vous demander de fournir le code PIN ou la clé de déchiffrement, à condition qu’elles prouvent à un juge que le contenu du smartphone (ou disque, ou ordinateur, ou clé usb…) est utile à l’enquête :
http://www.conseil-constitutionnel.fr/conseil-constitutionnel/francais/les-decisions/acces-par-date/decisions-depuis-1959/2018/2018-696-qpc/decision-n-2018-696-qpc-du-30-mars-2018.150855.html

"Le requérant, rejoint par les parties intervenantes, soutient que les dispositions contestées, en ce qu'elles sanctionnent le refus pour une personne suspectée d'une infraction de remettre aux autorités judiciaires, ou de mettre en œuvre à leur demande, une clé de déchiffrement susceptible d'avoir été utilisée pour commettre cette infraction, porteraient atteinte au droit au silence et au droit de ne pas contribuer à sa propre incrimination. Elles seraient ainsi contraires au droit à une procédure juste et équitable garanti par l'article 16 de la Déclaration des droits de l'homme et du citoyen de 1789 et au principe de présomption d'innocence garanti par l'article 9 de cette même déclaration. Enfin, selon les parties intervenantes, ces mêmes dispositions violeraient également le droit au respect de la vie privée et, selon l'une des parties intervenantes, le secret des correspondances, les droits de la défense, le principe de proportionnalité des peines et la liberté d'expression."

Refuser est condamnable de 3 ans d’emprisonnement et 270 000€ d’amende.
Précédemment, ne pas fournir la clé aux forces de l’ordre, sans juge, était directement condamnable.