Google continue de renforcer la sécurité d’Android. Après avoir confirmé que Android 17 introduira des restrictions plus strictes sur les tentatives de saisie du code PIN ou du mot de passe, de nouveaux détails dévoilent le fonctionnement précis de cette protection.
Repérées par le spécialiste Android Mishaal Rahman, ces modifications visent à compliquer considérablement les attaques consistant à deviner le code de verrouillage d’un smartphone.
Beaucoup moins de tentatives autorisées
Jusqu’à présent, Android autorisait un nombre relativement important d’essais avant de bloquer durablement un appareil. Selon les informations relayées par Mishaal Rahman, Android 16 pouvait autoriser environ :
- 10 tentatives durant la première minute
- 20 tentatives après six minutes
- 50 tentatives en 25 minutes
- 110 tentatives sur une période de 24 heures
- jusqu’à 1 800 tentatives réparties sur cinq ans
Avec Android 17, ces limites seraient considérablement revues à la baisse. Les nouveaux seuils seraient les suivants :
- 6 tentatives durant la première minute
- 7 tentatives après six minutes
- 8 tentatives en 25 minutes
- 12 tentatives sur 24 heures
- 19 tentatives sur cinq ans
Après 20 essais incorrects, le système empêcherait toute nouvelle tentative de déverrouillage.
🛑 Android 17 uses stronger default lock screen rate-limiting than previous versions.
Android 16 would allow up to 10 guesses in the first minute, 20 in 6 minutes, 50 in 25 minutes, 110 in 24 hours, and 1800 guesses in 5 years.
While this is pretty secure for PINs and passwords…
— Mishaal Rahman (@MishaalRahman) June 30, 2026
Une protection contre les attaques par force brute
Cette évolution vise principalement à limiter les attaques dites par brute force, qui consistent à tester un grand nombre de combinaisons jusqu’à trouver le bon code. Même si ce type d’attaque reste difficile sur les smartphones modernes, il peut devenir plus efficace lorsque le propriétaire utilise un code PIN trop simple, comme une date de naissance ou une combinaison de chiffres courante.
En réduisant fortement le nombre de tentatives autorisées, Google cherche à rendre ce type d’attaque beaucoup moins réaliste.
Les erreurs répétées ne seraient pas toujours comptabilisées
Toutefois, Google semble avoir prévu un mécanisme destiné à éviter de pénaliser les utilisateurs légitimes. Selon les informations disponibles, Android 17 serait capable de détecter lorsqu’une même combinaison erronée est saisie plusieurs fois de suite. Dans ce cas, les tentatives identiques ne seraient pas systématiquement comptabilisées comme de nouveaux essais.
Le système afficherait également des messages plus explicites afin d’informer l’utilisateur lorsqu’une limitation temporaire est appliquée, évitant ainsi les écrans de verrouillage difficiles à comprendre.
Une sécurité devenue essentielle
Les smartphones contiennent aujourd’hui une quantité importante de données sensibles. Applications bancaires, mots de passe enregistrés, clés d’authentification (passkeys), photos, conversations privées, historiques de localisation ou encore codes de validation reçus par SMS : une fois le verrouillage contourné, un appareil peut donner accès à une grande partie de la vie numérique de son propriétaire.
Dans ce contexte, renforcer la protection contre les tentatives de déverrouillage apparaît comme une évolution logique.
Une nouveauté discrète, mais importante
Android 17 est parfois critiqué pour proposer moins de nouveautés visibles qu’Android 16. Toutefois, ces améliorations de sécurité pourraient avoir un impact bien plus important au quotidien que certaines fonctionnalités plus spectaculaires.
Même si Google n’a pas encore détaillé officiellement tous les mécanismes qui accompagneront cette protection, les informations découvertes dans les versions de développement montrent que la sécurité reste l’une des priorités de cette nouvelle version d’Android.
Comme toujours, ces fonctionnalités pourraient encore évoluer avant le déploiement définitif d’Android 17 sur les smartphones compatibles.



