Qu'est-ce que l'inférence de frappe et comment peut-elle être utilisée pour voler des mots de passe?

Bien que cela puisse ressembler un peu à de la science-fiction ou à un film de hacker fantastique, Forbes a récemment couvert un document de recherche qui examine comment les pirates peuvent utiliser une méthode pour voler vos mots de passe en utilisant des images simples comme un enregistrement d'appel vidéo Zoom.

Avec la popularité croissante et la montée en puissance d'applications telles que Zoom et Google Meet pour organiser des réunions de travail à distance, les mauvais acteurs ont travaillé dur pour essayer de trouver de nouvelles façons d'abuser de ces plates-formes. Même avec toutes les mesures de sécurité mises en place par ces plates-formes, la nouvelle méthode de vol de mot de passe peut être en mesure de les contourner toutes.

Deux universités américaines, du Texas et de l'Oklahoma, ont produit un document de recherche sur la façon dont les mauvais acteurs peuvent utiliser le mouvement des bras et des épaules d'une personne lors d'un appel de réunion vidéo pour déduire ce qu'ils tapent sur leur clavier. La méthode est appelée "inférence de frappe".

Comment fonctionne la magie?

De toute évidence, l'inférence de frappe n'est pas la même chose que la saisie directe du mot de passe d'une personne à l'aide d'un enregistreur de frappe, mais il est également beaucoup plus difficile de déployer un logiciel malveillant d'enregistrement de frappe sur le système de la victime. Le document de recherche explique que les mauvais acteurs pourraient utiliser de petits mouvements apparemment insignifiants du haut du corps d'une personne pour deviner grossièrement les touches sur lesquelles ils appuient sur leur clavier.

La méthodologie complète repose sur le référencement des indices visuels de la personne qui tape sur la vidéo par rapport à un vaste dictionnaire et sur la déduction des chaînes et des mots qui peuvent être saisis, sur cette base. Bien sûr, pour que cette méthode fonctionne, le mauvais acteur devra soit participer à l'appel vidéo, soit avoir piraté la visioconférence afin d'accéder aux flux vidéo des participants.

Comment la méthode gère-t-elle les mots de passe forts?

L'algorithme examiné par les équipes universitaires affiche un taux de réussite inquiétant - environ 75% des chaînes de mots de passe examinées de cette manière ont été devinées correctement, si la chaîne de mots de passe utilisée faisait partie de la référence du dictionnaire d'environ un million de mots.

Bien sûr, cela nous ramène à l'importance de ne jamais utiliser de mots courants comme mots de passe et de proposer des mots de passe complexes et composés qui incluent des lettres, des chiffres et des symboles dans un bon mélange et avec une longueur suffisante. L'algorithme utilisé dans la recherche n'a pu deviner que moins de 19% des mots de passe construits en utilisant de bonnes pratiques de sécurité et contenant des chaînes uniques, introuvables dans un dictionnaire.

Cela ne fait que souligner qu'un bon mot de passe fort peut offrir un bon degré de protection, même contre les nouvelles méthodes d'attaque.

November 16, 2020

Laisser une Réponse