Une patate chaude : Nous connaissons déjà une vague de vols d’appareils mobiles alimentés par des voleurs qui espionnent et enregistrent les victimes lorsqu’elles saisissent leurs mots de passe. Maintenant, les chercheurs préviennent que la situation pourrait s’aggraver si les pirates de l’air commencent à utiliser l’imagerie thermique assistée par l’IA pour déterminer les mots de passe peu de temps après leur saisie.
Des chercheurs de l’Université de Glasgow ont dévoilé une méthode pour deviner les mots de passe récemment entrés sur les claviers et les écrans de téléphone avec une grande précision en imageant les signatures thermiques des doigts des utilisateurs. Le taux de réussite de la technique varie en fonction du moment, des matériaux et de la longueur du mot de passe, mais pourrait aggraver une récente augmentation des vols d’appareils.
Les voleurs ont récemment commencé à voler et à pénétrer dans les téléphones et autres appareils des utilisateurs en les regardant entrer leurs codes d’accès en public. Se connecter avec le mot de passe d’une victime est un moyen simple de surmonter toutes les mesures de sécurité que des entreprises comme Apple et Google ont minutieusement mises en œuvre, et les victimes ne peuvent pas faire grand-chose une fois que quelqu’un a volé et s’est connecté à leur appareil.
Cependant, un vol réussi exige que l’auteur se souvienne du mot de passe qu’il a vu ou enregistre la victime au fur et à mesure qu’elle y entre. La nouvelle méthode des chercheurs pourrait donner aux voleurs une fenêtre plus large en leur permettant de discerner un mot de passe après que quelqu’un l’ait tapé.
Si une personne utilise une caméra thermique pour prendre une photo d’un écran ou d’un clavier dans la minute suivant la saisie d’un mot de passe, l’IA peut deviner de manière fiable l’ordre dans lequel les touches ont été enfoncées. Le système, appelé ThermoScure, a un taux de réussite d’au moins 62 % selon les conditions.
La vitesse est la clé. ThermoSecure réussit à 86 % lors de l’analyse des photos prises dans les 20 secondes suivant la saisie des mots de passe. Le taux chute à 76 % à 30 secondes et à 62 % après une minute.
Des mots de passe plus longs diminuent quelque peu l’efficacité du système. ThermoSecure peut deviner un mot de passe à 16 caractères 67 % du temps avec une image prise dans les 20 secondes suivant la saisie d’un mot de passe. Le taux monte à 82 % pour les mots de passe à 12 caractères, 93 % pour les mots de passe à huit caractères et 100 % pour les mots de passe à six caractères. Les résultats font de tout code d’accès non alphanumérique pour iPhone une cible de choix pour le système, car les codes d’accès simples de l’appareil ne dépassent pas six chiffres.
Pour les claviers, d’autres éléments tels que le style de frappe et les matériaux affectent également les chances de ThermoSecure. Avec une image d’une signature thermique vieille de 30 secondes, le système peut deviner le mot de passe d’un dactylographe tactile 80 % du temps et le mot de passe d’un utilisateur qui cherche et pique dans 92 % des cas. Pendant ce temps, les clés en plastique PBT réduisent le taux de réussite à 14 %, tandis que les plastiques ABS ne le réduisent qu’à environ 50 %. Les claviers rétroéclairés sont également plus sûrs car ils génèrent plus de chaleur, masquant les empreintes thermiques.
Les voleurs peuvent déjà acquérir facilement et à moindre coût des caméras thermiques. Bien que les moyens de les combiner avec des devinettes basées sur l’IA ne soient pas encore disponibles, la recherche semble prouver la théorie, donnant aux utilisateurs encore plus de raisons d’adopter des mesures de sécurité strictes. Ils doivent éviter de saisir des codes d’accès lorsqu’ils sont visibles par les autres et utiliser d’autres méthodes d’authentification comme la biométrie lorsque cela est possible.
Crédit image : David Dodge
