Un mot de passe peut ne pas suffire à protéger un appareil contre les pirates informatiques. Une nouvelle étude a révélé comment les criminels peuvent utiliser des caméras thermiques pour retracer le mot de passe qu'une personne a tapé sur un smartphone, un clavier d'ordinateur ou même un distributeur automatique de billets. Des chercheurs de l'université de Glasgow ont montré comment des caméras détectant la chaleur peuvent aider à craquer des mots de passe jusqu'à une minute après les avoir tapés. Ils ont publié leurs résultats dans la revue ACM Transactions on Privacy and Security. Dans cette étude, les informaticiens ont mis au point un système d'intelligence artificielle appelé ThermoSecure, capable de retracer les mots de passe récemment saisis à partir de la chaleur du bout des doigts d'une personne. Les images des claviers et des écrans prises par la caméra thermique peuvent être analysées par l'IA pour deviner correctement les mots de passe informatiques en quelques secondes.
Des chercheurs ont découvert que des caméras à détection de chaleur peuvent aider à déchiffrer des mots de passe jusqu'à une minute après les avoir tapés, tout en prévenant que des systèmes similaires pourraient être développés par des criminels pour s'introduire dans des ordinateurs et des smartphones. La chaleur du bout des doigts des personnes peut être détectée sur les claviers récemment utilisés et, lorsque les images thermiques ont été combinées avec l'aide de l'intelligence artificielle, un outil mis au point par des chercheurs de l'université de Glasgow a permis de deviner le mot de passe.
Le Dr Mohamed Khamis, du département informatique de l'université, a supervisé le développement de ThermoSecure, un type inhabituel de système de pentesting ou test d’intrusion conçu pour démontrer comment la technologie de capture de la chaleur peut être utilisée pour faciliter le vol de justificatifs dans ce qu'il appelle une "attaque thermique". Un test d'intrusion est une méthode d'évaluation de la sécurité d'un système d'information ou d'un réseau informatique. Khamis et son équipe ont entraîné l'intelligence artificielle à "lire" les traces de chaleur laissées par le bout des doigts des utilisateurs de claviers d'ordinateur, de smartphones et de distributeurs automatiques de billets.
Quelque 86 % des mots de passe ont été déchiffrés lorsque les images thermiques ont été prises dans les 20 secondes suivant la saisie du code secret et passées dans le système ThermoSecure, et 76 % dans les 30 secondes. Le taux de réussite tombait à 62 % après 60 secondes de saisie. Ils ont également constaté qu'en 20 secondes, le système était capable d'attaquer avec succès des mots de passe longs de 16 caractères, avec un taux de 67 % de tentatives correctes. Plus les mots de passe étaient courts, plus les taux de réussite augmentaient. Les mots de passe à douze symboles ont été devinés jusqu'à 82 % du temps, les mots de passe à huit symboles jusqu'à 93 % du temps et les mots de passe à six symboles ont réussi dans 100 % des tentatives.
Se mettre dans la peau d'un voleur pour attraper un voleur
« On dit qu'il faut penser comme un voleur pour attraper un voleur. Nous avons développé ThermoSecure en réfléchissant soigneusement à la façon dont les acteurs malveillants pourraient exploiter les images thermiques pour s'introduire dans les ordinateurs et les smartphones. L'accès aux caméras à imagerie thermique est plus abordable que jamais, et l'apprentissage automatique est de plus en plus accessible aussi », a déclaré Khamis. Il a ajouté : « L'accès aux caméras à imagerie thermique est plus abordable que jamais (on peut en trouver pour moins de 225 €) et l'apprentissage automatique devient de plus en plus accessible aussi. Il est donc très probable que des personnes du monde entier développent des systèmes similaires à ThermoSecure afin de voler des mots de passe ».
Cette technologie est potentiellement utile aux cybercriminels, car les caméras thermiques montrent qu'une zone récemment touchée est plus lumineuse qu'une autre. Ainsi, en utilisant ces caméras pour mesurer l'intensité relative de ces points chauds, les escrocs avertis pourraient déterminer les chiffres, lettres ou autres symboles spécifiques qui ont été tapés ou touchés. Ils pourraient ensuite estimer l'ordre dans lequel ils ont été saisis, en essayant différentes combinaisons dans une attaque par force brute augmentée jusqu'à ce qu'ils trouvent la bonne ; une tâche pour laquelle l'apprentissage automatique, une forme d'intelligence artificielle, pourrait les aider.
Attaques thermiques
Les attaques thermiques peuvent se produire après qu'une personne a tapé son mot de passe ou son code d'accès sur le clavier de son ordinateur, sur l'écran de son smartphone ou après avoir tapé son code pin à un distributeur automatique de billets. Un voleur peut alors utiliser une caméra thermique pour prendre une photo et enregistrer la signature thermique de l'endroit où la personne a touché l'appareil. Sur les images capturées par les caméras thermiques, les zones apparaissent d'autant plus claires qu'elles ont été touchées récemment.
Plus la zone est chaude, plus elle a été touchée récemment, ce qui permet aux criminels de déterminer l'ordre possible dans lequel les touches ont été utilisées pour essayer différentes combinaisons afin de craquer le mot de passe. En mesurant l'intensité relative des zones plus chaudes, les chercheurs ont constaté qu'il était possible de déterminer les lettres et les chiffres spécifiques des symboles qui composent le mot de passe et d'estimer l'ordre dans lequel ils ont été utilisés. « Il est important que la recherche en sécurité informatique suive le rythme de ces évolutions afin de trouver de nouveaux moyens d'atténuer les risques, et nous continuerons à développer notre technologie pour tenter de garder une longueur d'avance sur les attaquants », explique Khamis.
Selon le Dr Khamis, il convient d'utiliser des mots de passe plus longs dans la mesure du possible, ceux qui sont les plus difficiles à deviner avec précision. Par ailleurs, le type de matériau utilisé pour la fabrication des claviers peut influer sur leur capacité à absorber la chaleur, certains plastiques étant beaucoup plus susceptibles de conserver un motif thermique que d'autres. « Les claviers rétroéclairés produisent également plus de chaleur, ce qui rend les relevés thermiques précis plus difficiles, de sorte qu'un clavier rétroéclairé en plastique PBT pourrait être intrinsèquement plus sûr. Enfin, les utilisateurs peuvent contribuer à rendre leurs appareils et claviers plus sûrs en adoptant des méthodes d'authentification alternatives, comme la reconnaissance des empreintes digitales ou du visage, qui atténuent une grande partie des risques d'attaque thermique », ajoute-t-il.
Des réglementations plus strictes sont nécessaires
Khamis a exhorté les gouvernements à donner suite aux conclusions de son équipe et à rendre plus difficile l'accès à la technologie de collecte des informations d'identification. « Nous tenons à souligner aux décideurs politiques les risques que ces types d'attaques thermiques font peser sur la sécurité informatique. L'un des moyens potentiels de réduire les risques pourrait être de rendre illégale la vente de caméras thermiques dont le logiciel ne comporte pas une forme de sécurité renforcée. Nous développons actuellement un système de contre-mesure piloté par l'IA qui pourrait contribuer à résoudre ce problème », a-t-il déclaré.
Il existe un moyen un peu plus onéreux de se défendre contre une attaque thermique : apprendre à taper au clavier. Les secrétaires dont les frappes ont été suivies par une caméra thermique pendant une demi-minute n'ont réussi à déjouer les attaques que dans 80 % des cas, alors que les dactylographes à deux doigts, moins adroits, ont réussi à déjouer les attaques dans 92 % des cas.
Source : ACM Transactions
Et vous ?
Que pensez-vous des résultats de cette recherche ? Les trouvez-vous pertinents ?
Voir aussi :
Des chercheurs en sécurité déjouent Windows Hello en trompant une webcam du système de reconnaissance faciale : une photo infrarouge et une trame vidéo leur ont suffi
93 % des Français utilisent des mots de passe faibles, d'après une enquête d'Avast, qui met la lumière sur les pratiques des Français en la matière
« Pirater des mots de passe est aujourd'hui à la portée de tous » un amateur explique comment faire et donne cinq débuts de parades
Les machines Linux et Raspberry Pi deviennent des cibles privilégiées pour le piratage des données d'identification, les pirates accèdent à des serveurs avec les mêmes mots de passe par défaut
Une étude met en garde contre l'utilisation des caméras thermiques et de l'IA pour pirater les mots de passe
à travers ces caméras les voleurs de mots de passe pourraient être sur vos traces
Une étude met en garde contre l'utilisation des caméras thermiques et de l'IA pour pirater les mots de passe
à travers ces caméras les voleurs de mots de passe pourraient être sur vos traces
Le , par Nancy Rey
Une erreur dans cette actualité ? Signalez-nous-la !