Des chercheurs sont parvenus à pirater des mots de passe simplement en enregistrant le bruit de frappe d’un internaute sur son clavier.
Les pirates informatiques pourront bientôt infiltrer vos comptes en ligne directement via un microphone. Des chercheurs des Universités de Durham, de Surrey et de la Royal Holloway University of London ont récemment publié une impressionnante technique de vol de données.
Dans une étude baptisée A practical deep learning-based acoustic side channel attack on keyboards, les auteurs et autrices détaillent comment deviner le mot de passe d’un internaute… simplement en se fiant au bruit de ses doigts sur les touches de son clavier.
Le micro et l’IA font bon ménage
Dans l’article, les chercheurs présentent un nouveau modèle d’intelligence artificielle “capable de voler des données à partir de frappes de clavier enregistrées à l’aide d’un microphone avec une précision de 95%“. En plus d’être très fiable, cette attaque est aussi très simple à mettre en place, assure l’étude.
Il suffit de placer un micro dans la même pièce que sa cible, puis d’enregistrer ses frappes de clavier. Pas besoin de sortir le grand jeu, un simple smartphone suffit.
Grâce à cet enregistrement, le logiciel serait ainsi capable de “décoder” toutes les données frappées que nous saisissons sur notre clavier.
Cela concerne évidemment les mots de passe et les identifiants, mais peut s’appliquer à tout et n’importe quoi : traitement de texte, mail, discussions privées ou informations sensibles… absolument toutes les données pourraient être espionnées.
Les Mac en ligne de mire
Si le logiciel de reconnaissance assure être capable de décoder n’importe quelle frappe sur clavier à membrane, les utilisateurs Apple sont tout particulièrement concernés. L’entraînement de l’IA sur le projet se base en effet sur l’enfoncement des touches d’un clavier MacBook Pro.
Dans une moindre mesure, l’étude mentionne aussi des sessions d’entraînement sur Thinkpad de Lenovo et Tecra M2 de Toshiba. En enregistrant plusieurs heures de frappe, les chercheurs sont ainsi parvenus à isoler les “différences identifiables pour chaque touche et d’appliquer des traitements visant à augmenter les signaux pouvant être utilisés pour l’identification des frappes“. Le détail de l’étude est disponible ici en anglais, et il a de quoi inquiéter, surtout chez les adeptes du travail en coworking ou en open-space.
Comment se protéger ?
Face à cette énième menace pour vos données personnelles, il n’y a pas trente-six solutions. Les universitaires invitent les internautes à rester vigilants : le processus de reconnaissance fonctionne beaucoup mieux au fur et à mesure que l’IA accumule des données sur le style de frappe de la cible.
Ainsi, une victime “inconnue” n’aura que 72% de chance de voir ses données corrompue. À l’inverse, une personne ayant fait l’objet d’enregistrements réguliers accuse un taux de réussite de près de 92%.
Pour se protéger au maximum, les chercheurs conseillent aussi de “changer régulièrement son style de frappe“, sans réellement préciser comment faire. L’utilisation de mots de passe randomisés (proposés automatiquement par Google), ou d’une authentification par empreinte biométrique peut aussi limiter les risques.
The Hacker News