L’IA menace de casser votre code PIN en moins d’une demi-seconde et c’est terrifiant

Un rapport de Messente révèle que l'IA est dès à présent capable de casser les codes PIN en moins d'une demi-seconde. On parle ici des codes secrets à quatre ou six chiffres comme le code secret des cartes bancaires ou utilisés en guise de sécurité par certains services. 

Vous aussi, vous vous étonnez que votre carte bancaire et certains services utilisent encore des codes PIN à quatre chiffres ? Un comble alors même que des mots de passe beaucoup plus longs et complexes semblent ne jamais suffire, ailleurs, pour sécuriser vos comptes en ligne. Pensé dans les années 1980, l'approche assez simpliste du PIN (personal identifier number) à quatre chiffres pour sécuriser les transactions et accès a vécu.

Et c'est d'autant plus vrai avec l'avénement de l'IA sur laquelle s'appuient de plus en plus les pirates. Pour mieux faire voler en éclat des vestiges sécuritaires devenus archaïques. Un rapport de Messente (via Android Headlines) montre ainsi qu'il ne faut, en moyenne, même pas une demi-seconde pour trouver un code à quatre chiffre en utilisant l'intelligence artificielle.

Le code PIN ne suffit plus à sécuriser les transactions

Un problème que l'authentification double facteurs ne permettrait pas tout à fait d'adresser. Puisque le code à usage unique ne ferait que légèrement retarder l'accès à un compte ou la validation d'un paiement pour un pirate utilisant l'IA. Le PDG de Messente explique : « Pour les entreprises qui recourent à des parcours de vérification par SMS ou par code PIN, l’utilisation de codes PIN faibles peut rendre les comptes clients vulnérables, même lorsque l’authentification à deux facteurs est activée».

De quoi s'alarmer de la persistance de ces modalités de sécurité, qu'il est très certainement temps de mettre au placard. Mais aussi de quoi se demander comment remplacer les codes PIN et l'authentification double facteurs par quelque chose de beaucoup plus sécurisé. D'un côté, il faut mentionner des dispositifs comme les Passkeys qui suppriment les codes au profit d'une combinaison entre un appareil de validation (votre smartphone) et des données biométriques (empreinte digitale, reconnaissance faciale…).

Ces modalités ne sont toutefois pas encore toujours possibles à implémenter partout. Avec des cas où l'entrée de codes reste nécessaire et souhaitable. Pour ces derniers, Messente recommande une approche multi-factorielle. Avec à la fois des codes à usage uniques, des tokens basés sur le temps, et éventuellement un code PIN. De quoi réduire la prédictibilité des codes numériques et donc la capacité de l'IA à les casser.