Des pirates utilisent désormais des attaques thermiques pour voler des mots de passe en quelques secondes


Bien que les chances d’une attaque thermique soient actuellement minces, elles pourraient devenir courantes dans un avenir proche.

Pour attraper un voleur, il faut penser comme un voleur. Ce n’est peut-être pas ce que vous entendez de la part d’un chercheur universitaire, mais Mohammed Khamis, lecteur au département d’informatique de l’université de Glasgow, et son équipe de chercheurs l’ont fait et ont mis au point un système capable de révéler les mots de passe en quelques secondes.

Baptisé attaque thermique, le système combine deux événements dans l’espace technologique, la baisse des prix des caméras thermiques et l’accès accru à l’apprentissage automatique pour démontrer comment une image de votre écran ou de votre clavier capturée à l’aide d’une caméra thermique pourrait suffire à un pirate pour accéder à des informations confidentielles.

Qu’est-ce qu’une attaque thermique ?

Chaque fois que vous accédez à un clavier ou à un écran de smartphone pour taper votre mot de passe ou votre code d’accès, le contact entre vos doigts et la surface laisse une signature thermique faible mais détectable. Lorsqu’elle est capturée par une caméra thermique, cette signature thermique est visible jusqu’à 60 secondes après le contact.

Cela signifie que, même si vous protégez le clavier pendant que vous saisissez votre code d’accès au guichet automatique, quelques secondes plus tard, une caméra thermique peut encore détecter les touches touchées pendant le processus. C’est ce qu’on appelle une attaque thermique.

Les chercheurs ont constaté que les touches récemment touchées apparaissaient plus brillantes sur ces images, et il était possible de déterminer la séquence de chiffres, de lettres ou même de symboles qui composent un mot de passe.

Des recherches antérieures menées par l’équipe de recherche ont montré que, compte tenu de ces informations, même les non-experts pouvaient deviner avec précision les mots de passe à partir de telles images. L’équipe a utilisé l’apprentissage automatique pour voir si la précision de l’estimation des mots de passe pouvait être améliorée.

Comment l’apprentissage automatique peut aider à craquer les mots de passe

Les chercheurs ont utilisé 1 500 images de claviers QWERTY prises sous différents angles après avoir été utilisées pour taper des mots de passe. Ils ont ensuite entraîné un modèle d’intelligence artificielle (IA) à lire ces images et ont utilisé un modèle probabiliste pour deviner les mots de passe à partir des indices thermiques.

Les chercheurs ont constaté que le système, appelé ThermoSecure, pouvait deviner 86 % des mots de passe avec précision lorsque les images étaient prises dans les 20 secondes suivant le contact. Lorsque l’intervalle entre les images passait à 60 secondes, la précision diminuait à 62 %.

Parmi les images prises dans les 20 secondes, le système a également pu deviner des mots de passe longs comportant jusqu’à 16 caractères dans 67 % des cas. Plus les mots de passe étaient courts, plus la précision augmentait, atteignant 100 % pour les mots de passe de six caractères, précise le communiqué de presse.

“L’accès aux caméras thermiques est plus abordable que jamais – on peut en trouver pour moins de 225 dollars – et l’apprentissage automatique devient lui aussi de plus en plus accessible”, a déclaré M. Khamis dans le communiqué de presse. “Il est important que la recherche en sécurité informatique suive le rythme de ces évolutions pour trouver de nouvelles façons d’atténuer les risques, et nous continuerons à développer notre technologie pour essayer de garder une longueur d’avance sur les attaquants.”

Que peut-on faire pour éviter cela ?

La recherche a également donné un aperçu des stratégies d’atténuation qui pourraient être adoptées pour prévenir une attaque thermique. Les chercheurs ont constaté que les utilisateurs qui tapaient plus lentement et laissaient leurs doigts plus longtemps sur le clavier étaient plus susceptibles de voir leurs mots de passe devinés avec précision que ceux qui tapaient rapidement.

De plus, le matériau utilisé pour fabriquer le clavier a également eu un impact sur la capacité du système à deviner les mots de passe. Thermosecure a pu deviner avec précision les mots de passe tapés sur des claviers fabriqués en plastique ABS dans environ 50 % des cas. En revanche, le taux de réussite a considérablement baissé, passant à 14 % lorsque des claviers en plastique PBT étaient utilisés.

Outre le passage à des moyens d’authentification sophistiqués, tels que la reconnaissance des empreintes digitales et du visage, les utilisateurs pourraient adopter de longues phrases de passe comme mots de passe.

Les résultats de cette recherche ont été publiés dans la revue ACM Transactions on Privacy and Security.

Lire aussi : Les connexions sans mot de passe pourraient arriver plus tôt que prévu

Source : Interesting Engineering – Traduit par Anguille sous roche


Vous aimerez aussi...

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *