A partir des données des capteurs, une IA subtilise les codes PIN des smartphones
Une équipe de scientifiques de l'université de Newcastle au Royaume-Uni a imaginé un fichier JavaScript capable de collecter des données issues des différents capteurs présents sur un smartphone. Ces informations ouvrent la voie à la découverte du code PIN ou des mots de passe de l'utilisateur du terminal.
Au total, le JavaScript glane des données auprès de 25 capteurs (gyroscope, accéléromètre, boussole, GPS, luminosité, caméra, microphone, etc.). Les chercheurs ont découvert que les systèmes d'exploitation mobiles et les navigateurs ne limitent pas l'accès à l'ensemble des capteurs. L'attaque menée par les scientifiques concernent aussi les applications qui demandent souvent l'accès aux capteurs du terminal comme la géolocalisation, la caméra, le microphone.
L'intelligence artificielle en arrière-plan
Le JavaScript élaboré par l'équipe universitaire se nomme PINLogger.js. Il se place dans une application ou sur une page web. Le fichier est capable de collecter des données issues de l'orientation et du mouvement du smartphone.
Quand l'utilisateur s'authentifie avec son code PIN ou son mot de passe, les données de mouvement sont envoyées à un serveur. Elles sont ensuite traitées par une solution de Deep Learning (reproduisant les réseaux neuronaux) chargée de déterminer les codes d'authentification. Et plus, il y a de données, mieux l'algorithme fonctionne. Pour le Dr Siamak Shahandashti, un des chercheurs participant à l'étude, « c'est un peu comme un puzzle, plus vous avez de pièces installées, plus vous voyez l'image finale ».
Lire aussi : Six enseignements clés sur les mots de passe tirés de la mise à jour du cadre de cybersécurité du NIST
Un fort taux de réussite
Et le résultat est convaincant : 78% de réussite dès le 1er essai pour un code PIN à 3 chiffres. La précision passe à 86 et 94% sur le deuxième et troisième essai. Sur la partie mot de passe, l'algorithme fonctionne aussi, mais sans évaluation précise de la part des chercheurs. Ces derniers entendent attirer l'attention des constructeurs de smartphones et des éditeurs sur l'accès des applications et des navigateurs aux différents capteurs des terminaux et sur les autorisations que ces accès nécessitent.
Des conseils pris en compte par certains comme Mozilla qui, depuis Firefox 46, a limité l'accès des JavaScript aux capteurs de mouvements et d'orientation à certaines pages. Une restriction similaire a été mise en place pour Safari, au sein d'iOS 9.3 (mars 2016). Par contre, avec Chrome, ce problème d'accès n'est toujours pas résolu. A l'avenir, les chercheurs plaident pour une solution au niveau de l'OS et non plus au niveau des applications.
A lire aussi :
La chaleur des doigts pour pirater le code PIN des smartphones
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
WindTalker : pirater des codes PIN en sniffant le WiFi des smartphones
Photo credit: Ervins Strauhmanis via Visualhunt / CC BY
Sur le même thème
Voir tous les articles Cybersécurité