Des experts en sécurité ont démontré qu’il était possible d’exploiter les capteurs de mouvements d’un téléphone pour lui donner la vocation d’un enregistreur de frappe (keylogger).
Selon la force à laquelle vous tapez fièrement le code permettant de déverrouiller votre téléphone, il serait bien possible qu’une personne mal intentionnée puisse déterminer quel est votre NIP.
Comme le rapporte aujourd’hui Engadget, c’est en effet ce qu’a démontré une équipe de l’Université de Newcastle au Royaume-Uni. Lors de leurs expériences, en recueillant les données des angles et mouvements d’un appareil mobile lors de l’inscription d’un code à quatre chiffres, les chercheurs sont parvenus à déduire avec succès celui-ci dans 70% des cas dès leur première tentative. Ce taux de réussite atteint 100% lorsqu’on leur accorde un maximum de 5 chances.
«La plupart des téléphones intelligents, tablettes et autres accessoires connectés sont maintenant équipés d’une multitude de capteurs», explique Maryam Mehrnezhad, chercheuse du département de sciences informatiques ayant piloté l’étude.
«Mais puisque les applications et sites web n’ont pas besoin de demander d’autorisation pour accéder à la plupart d’entre eux, des logiciels malveillants peuvent “écouter” de manière furtive les données de vos captures et les utiliser pour découvrir une foule d’informations sensibles à votre sujet», ajoute-t-elle, citant en exemples les numéros de téléphone que vous avez composés, vos activités physiques, votre NIP et vos mots de passe.
Encore plus inquiétant : sous certains navigateurs, un tel maliciel peut continuer de prélever les données des capteurs de mouvements même lorsque le site qui l’héberge se retrouve dans un onglet masqué. Par conséquent, toute information confidentielle inscrite sur un autre site web (par exemple, celui de votre institution financière) serait susceptible d’être prélevée par autrui en exploitant cette méthode.
L’équipe de l’Université de Newcastle a déjà informé les développeurs des plus populaires navigateurs mobiles de leur découverte.
Pour parvenir à réaliser cet exploit, l’équipe a entraîné un réseau neuronal (ou une intelligence artificielle) avec les données puisées de personnes ayant volontairement tapé divers NIP afin de produire les profils correspondants pouvant être exploités par un algorithme. Celui-ci a ensuite été intégré à un code JavaScript diffusé vers le navigateur d’un téléphone. Lorsque l’utilisateur visite le site en question, il devient «sous écoute», et l’algorithme est alors en mesure de collecter les données des capteurs de mouvement pour tenter de déterminer ce qui est tapé par ce dernier.
Bien entendu, il est important de souligner que l’étude n’a démontré l’efficacité de cette preuve de concept que pour des codes à quatre chiffres (tapés par le biais du clavier numérique), et non des mots de passe plus complexes (tapés par le biais du clavier conventionnel). Mais logiquement, il suffirait de renforcer le réseau neuronal en l’entraînant avec davantage de données pour que celui-ci gagne la capacité de déduire les frappes avec une plus grande précision.
L’équipe de l’Université de Newcastle a déjà informé les développeurs des plus populaires navigateurs mobiles de leur découverte. Pour l’instant toutefois, aucun d’entre eux ne semble être parvenu à trouver une solution définitive.
«C’est un combat entre convivialité et sécurité», ajoute Mehrnezhad. «Nous sommes tous enthousiastes devant le téléphone dernier cri offrant les toutes dernières fonctionnalités et une meilleure expérience utilisateur, mais parce qu’il n’existe pas de façon uniforme de gérer les capteurs dans l’ensemble de l’industrie, ils constituent une menace réelle pour notre sécurité personnelle.»
«Une option serait de refuser l’accès [des données des capteurs] au navigateur, mais on ne souhaite pas perdre tous les bénéfices associés aux capteurs de mouvements intégrés.»
À noter qu’Apple et Mozilla ont partiellement résolu le problème avec les dernières versions de Safari et Firefox à la lumière de cette découverte l’an dernier. De son côté, Google travaillerait toujours à développer un correctif pour la version mobile de Chrome.