Il y a des preuves que les pirates pourraient «entendre» les mots de passe que vous entrez sur votre téléphone

Hackers Can Hear Passwords

Il y a plusieurs façons de compromettre un mot de passe. Si un fournisseur de services ne le stocke pas correctement, les pirates informatiques peuvent le voler. Ils peuvent également amener les utilisateurs à donner leurs données de connexion. Etant donné que leurs habitudes en matière de création de mot de passe sont terriblement prévisibles , les escrocs peuvent souvent deviner les informations d'identification censées protéger des données très sensibles. Les chercheurs universitaires ont maintenant trouvé un autre moyen, plus inhabituel, de voler un mot de passe: les ondes sonores.

L'équipe d'experts est composée de Ilia Shumailov, de Laurent Simon et de Ross Anderson de l'Université de Cambridge en Angleterre, ainsi que de Jeff Yan de l'Université de Linköping en Suède. Ils ont conçu et réalisé ce qu'ils appellent une attaque par "canal latéral acoustique" qui utilise les microphones d'un smartphone ou d'une tablette pour "entendre" ce que la victime écrit sur l'écran tactile de l'appareil.

Comment fonctionne l'attaque acoustique par canal latéral?

Beaucoup d'entre vous sont peut-être déjà un peu sceptiques à propos de cette idée. Après tout, l’un des avantages de la frappe sur les appareils à écran tactile est qu’il n’émet aucun bruit. Bien que le son des doigts tapant sur un écran de verre puisse être inaudible à l'oreille humaine, ce n'est toutefois pas strictement le cas lorsqu'il s'agit des microphones des smartphones modernes.

L'expérience visait les appareils Android, qui vibrent souvent lorsque les utilisateurs appuient sur les touches des claviers virtuels et des clavier NIP. Au départ, les chercheurs ont voulu exploiter cela à leur avantage, mais ils ont vite compris que de nombreuses applications bancaires désactivaient délibérément cette fonctionnalité. C'est pourquoi ils ont décidé de suivre un chemin différent.

Les téléphones mobiles ont au moins deux microphones: un vers le haut et un autre vers le bas. En fonction de la région de l'écran sur laquelle vous appuyez, le son parviendra à l'un des microphones un peu plus tôt que l'autre. Les chercheurs ont pensé qu'en tenant compte de cette différence, ils pourraient avoir une idée précise de l'endroit où l'utilisateur exploite. En fin de compte, ils avaient raison.

Les résultats étaient aussi surprenants qu'inquiétants

À l’aide de la technologie d’apprentissage automatique, les experts ont mis au point une application spéciale et l’ont donnée à 45 participants, à qui il a été demandé de saisir certains codes PIN et mots de passe. Pour rendre le scénario aussi réaliste que possible, les expériences ont été menées à plusieurs endroits avec différents niveaux de bruit de fond.

Après avoir enregistré les ondes sonores créées par les doigts des participants, les experts ont utilisé leur logiciel pour déterminer les mots de passe et les codes PIN. Étonnamment, 73% des codes PIN à quatre chiffres ont été déchiffrés avec 10 tentatives ou moins. Comme on pouvait s'y attendre, le taux de réussite avec les mots de passe était inférieur, mais ce n'était toujours pas négligeable.

Environ 30% des mots de passe ont été exposés avec moins de 20 conjectures. N'oubliez pas que nous parlons de mots de passe comportant entre 7 et 13 caractères, composés de lettres et de chiffres.. Cracker ceux dans un scénario traditionnel de force brute aurait été beaucoup plus difficile.

Tout cela semble très sombre, mais avant de paniquer, gardez à l'esprit que pour le moment, l'attaque acoustique par les canaux latéraux mise au point par les chercheurs a peu de chances de vous mettre immédiatement en danger.

Quand les cybercriminels vont-ils commencer à utiliser les microphones de votre appareil pour deviner votre mot de passe?

Comme nous l'avons déjà mentionné, l'attaque a été conçue par des chercheurs universitaires qui ont utilisé une technologie de pointe pour obtenir un résultat sans aucun doute impressionnant. Le document qu'ils ont publié explique plus en détail le fonctionnement de tout cela, mais si les pirates informatiques vont utiliser cette méthode, ils devront développer leur propre logiciel permettant d'écouter et de déchiffrer les écoutes sur l'écran de votre téléphone. Ceci ne sera pas facile.

En d'autres termes, les premiers groupes de piratage qui utiliseront cette attaque dans le monde réel seront extrêmement sophistiqués, probablement parrainés par l'État, et viseront très probablement des cibles très médiatisées. Pour réussir l'attaque, ils devront également convaincre les victimes d'installer une application malveillante et lui donner la permission d'accéder au microphone de l'appareil.

Même s'ils y parviennent, ils doivent garder à l'esprit que, comme l'ont découvert les chercheurs, le bruit de fond peut rendre la tâche de deviner les mots de passe beaucoup plus difficile. Lorsque la cible pose ses mains sur le microphone, ce qui, selon le rapport de recherche, se produit souvent, cela devient pratiquement impossible.

Donc, pour le moment, l'attaque acoustique par canal latéral est davantage une théorie qu'une menace réelle. Néanmoins, comme les experts l'ont souligné dans le document, les éditeurs de logiciels et de matériel informatique devraient probablement envisager de mettre en place un indicateur visuel indiquant si le microphone est utilisé ou non. En ce qui concerne les utilisateurs, les conseils n'ont pas vraiment changé. Ils doivent faire attention aux applications qu'ils installent et aux autorisations qu'ils accordent.

August 16, 2019
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.