Des chercheurs de l’Université de Glasgow ont publié un article qui met en lumière leur implémentation dite de ThermoSecure pour découvrir les mots de passe et les codes PIN. Le nom ThermoSecure fournit un indice sur la méthodologie sous-jacente, car les chercheurs utilisent un mélange de technologie d’imagerie thermique et d’IA pour révéler les mots de passe des périphériques d’entrée tels que les claviers, les pavés tactiles et même les écrans tactiles.
Avant d’examiner les techniques et la technologie sous-jacentes, il convient de souligner à quel point ThermoSecure est impressionnant pour découvrir les entrées de mot de passe. Lors des tests, le document de recherche déclare : « ThermoSecure attaque avec succès les mots de passe à 6 symboles, 8 symboles, 12 symboles et 16 symboles avec une précision moyenne de 92 %, 80 %, 71 % et 55 % respectivement. » De plus, ces résultats provenaient de preuves relativement « froides », et le document ajoute qu' »une précision encore plus élevée [is achieved] lorsque les images thermiques sont prises dans les 30 secondes. »
Comment fonctionne ThermoSecure ? Le système a besoin d’une caméra thermique, qui devient un article beaucoup plus abordable ces dernières années. Un appareil utilisable ne peut coûter que 150 $, selon le document de recherche. Du côté du logiciel AI, le système utilise une technique de détection d’objet basée sur Mask RCNN qui mappe essentiellement l’image (thermique) aux clés. Au cours de trois phases, des variables telles que la localisation du clavier sont prises en compte, puis la saisie des touches et la détection des appuis multiples sont entreprises, puis l’ordre des appuis sur les touches est déterminé par des algorithmes. Dans l’ensemble, cela semble fonctionner plutôt bien, comme le suggèrent les résultats.
Les dactylographes Hunt-and-Peck deviennent les chassés
Avec l’attaque thermique ci-dessus qui semble une option tout à fait viable pour les pirates informatiques pour espionner les mots de passe, les codes PIN, etc., que peut-on faire pour atténuer la menace ThermoSecure ? Nous avons rassemblé les principaux facteurs pouvant impacter le succès d’une attaque thermique.
Facteurs d’entrée : Les utilisateurs peuvent être plus sécurisés en utilisant des mots de passe plus longs et en tapant plus vite. « Les utilisateurs qui sont des dactylographes à chasser et à picorer sont particulièrement vulnérables aux attaques thermiques », notent les chercheurs.
Facteurs d’interface : Les propriétés thermodynamiques du matériau du dispositif d’entrée sont importantes. Si un pirate peut imager le périphérique d’entrée en moins de 30 secondes, cela aide beaucoup. Les amateurs de clavier seront également probablement intéressés de savoir que les keycaps ABS conservent les signatures thermiques tactiles beaucoup plus longtemps que les keycaps PBT.
Effacer l’activité : La chaleur émise par les claviers rétroéclairés aide à dissimuler les traces de chaleur de l’interaction humaine avec le clavier. Une personne prudente peut parfois toucher les touches sans les actionner et ne pas quitter la zone de saisie pendant au moins une minute après avoir saisi le nom d’utilisateur/mot de passe.
Allez sans mot de passe : Même les meilleurs mots de passe sont extrêmement peu sûrs par rapport aux méthodes d’authentification alternatives telles que la biométrie.
En résumé, la précision de ces attaques thermiques est étonnamment élevée, même quelque temps après que l’utilisateur s’est éloigné du clavier/pavé numérique. C’est inquiétant mais pas plus que les autres techniques de surveillance/écrémage déjà largement répandues. La meilleure solution à ces types de méthodes de devinette de mot de passe et de code PIN semble être le passage à la biométrie et / ou à l’authentification à deux facteurs ou plus. Empêcher l’accès non autorisé à votre appareil en premier lieu (c’est-à-dire ne pas laisser votre ordinateur portable ou votre téléphone sans surveillance), surtout pas juste après avoir tapé votre code PIN/mot de passe, aidera également à contrecarrer les attaquants.