Empreintes

empreintes

ParSteven de Simseo

« Ils disent que pour attraper un voleur, il faut penser comme un voleur. » Cela ressemble à une phrase tirée du scénario d’un western des années 70 ou d’un thriller du samedi après-midi, mais en ce qui nous concerne maintenant, son auteur a peu à voir avec le cinéma. prononce-le Docteur Mohamed Khamischercheur à Université de Glasgow. Et il le fait pour présenter sa dernière étude : comment, avec à peine plus qu’un appareil photo et des notions de apprentissage automatique n’importe qui peut déchiffrer nos mots de passe.

Main dans la main avec son équipe, Khamis a entrepris de préciser à quel point il serait facile pour un voleur de « chasser » n’importe quel code de sécurité que nous avons tapé dans un smartphone, un ordinateur, une tablette ou même au caissier de la banque. Pour sortir du doute développé ThermoSecureun système qui se tient essentiellement sur deux jambes: une caméra thermique et un modèle d’intelligence artificielle (IA) développés spécifiquement pour lire les images et déchiffrer les codes.

Comment? Avec quelque chose d’apparemment aussi simple que notre « heat signature », la trace que l’on laisse du bout des doigts en sautant d’une touche à l’autre. Nous ne pourrons peut-être pas les voir, mais les caméras thermiques le peuvent, et avec la même clarté qu’un rétro noir sur blanc si les conditions sont réunies. Vos captures sont ensuite analysées avec une IA capable de faire des suppositions avec un modèle probabiliste. De quoi « découvrir » notre code.

lire les clés

« Plus une zone apparaît claire sur l’image thermique, plus elle a été pulsée récemment. Au mesurer l’intensité par rapport aux zones plus chaudes, il est possible de déterminer les lettres, chiffres ou symboles qui composent le mot de passe et d’estimer l’ordre dans lequel ils ont été utilisés », rappelle l’université.

Avec ces données, l’attaquant n’a qu’à essayer des combinaisons pour trouver la bonne touche (clin d’œil, clin d’œil). En son temps, le Dr Khamis avait déjà montré qu’un amateur se contente de voir les images thermiques prises entre 30 et 60 secondes après avoir tapé le mot de passe pour le deviner avec succès. Désormais, à cette capacité intuitive s’ajoute l’aide précieuse de l’IA.

Est-ce vraiment si simple ? Les données calculées par Khamis, Norah Alotaibi et John Williamson et qui viennent d’être publiées dans Transactions ACM sur la confidentialité et la sécurité ils sont éloquents. Au cours de leur enquête, ils ont pris 1 500 photos thermiques Des claviers QWERTY sous différents angles et ont utilisé l’apprentissage automatique pour rendre le processus aussi « précis » que possible.

Ils n’ont pas mal fait l’effort. Ils ont découvert que ThermoSecure avait mis le doigt sur la tête en 86% des occasions s’il était utilisé avec des images thermiques prises 20 secondes après l’utilisation du clavier, un pourcentage qui tombait à 76 % si 30 secondes s’étaient écoulées et à 62 % si l’intervalle était d’une minute. Même dans ce cas, le taux de décryptage était bien supérieur à 50 %.

Avec une marge de 20 secondes, l’outil a pu attaquer avec succès même les mots de passe longs de 16 caractères avec un taux de tentatives correctes de 67 %plus qu’honorable. Au fur et à mesure que les codes étaient raccourcis, le pourcentage s’améliorait ostensiblement : avec des mots de passe de 12 symboles, ThermoSecure devinait 82 % du temps, avec huit c’était correct 93 % du temps et si les mots de passe étaient de six éléments, le taux de réussite grimpait jusqu’à 100 % .

L’expérience vise à aller au-delà de la théorie et à envoyer un message clair, explique Khamis : avec les bonnes ressources, déchiffrer le mot de passe que nous venons de taper dans un guichet automatique dans la rue, un ordinateur ou notre écran mobile est relativement facile. Chaque fois plus.

« L’accès aux caméras thermiques est plus abordable que jamais, elles peuvent être trouvées pour moins de 200 £, et le apprentissage automatique il devient également de plus en plus accessible. Cela rend très probable que des gens du monde entier développent des systèmes similaires à ThermoSecure pour voler des mots de passe. » souligne l’expert de l’Université de Glasgow.

« Il est important que la recherche sécurité informatique suivre le rythme de ces développements pour trouver de nouvelles façons d’atténuer les risques —affecte—. Nous souhaitons également souligner aux législateurs les risques que ces types d’attaques thermiques présentent pour la sécurité.

En guise de conclusion, l’expert propose quelques solutions possibles, comme repenser la vente de caméras thermiques, interdire celles qui n’intègrent pas de meilleurs mécanismes de sécurité dans leur logiciel, ou directement compliquer la tâche à ceux qui veulent récupérer nos clés. Comment? Khamis soulève certains qu’un bon moyen est de se concentrer sur les matériaux.

Son outil était beaucoup plus efficace avec des toits en plastique ABS qu’avec ceux en PBT : c’était plus ou moins correct. 50% du temps Dans le premier cas; dans 14% dans le second.

Une autre stratégie intéressante consiste à taper plus vite, en laissant moins de temps aux doigts sur les touches, ce qui réduit la durée du « heat track », utiliser des mots de passe longs ou opter pour des méthodes alternatives pour s’identifier sur nos appareils, comme les empreintes digitales ou la reconnaissance faciale. « Ils atténuent bien des risques d’attaque thermique », souligne le spécialiste.

Images: Université de Glasgow

Steven de Simseo
Steven de Simseo

Steven, rédacteur en chef et moteur de Simseo, fusionne une expertise en intelligence artificielle avec une vision futuriste. Pionnier dans son domaine, il guide son équipe avec passion, transformant les complexités de l'IA en récits captivants et accessibles pour le grand public.