Il faudra compter sur une nouvelle méthode pour découvrir le code PIN d’un smartphone : la chaleur des doigts. Une équipe d’informaticiens de l’université de Stuttgart et de Munich a remarqué que les techniques d’imageries thermiques peuvent révéler quelles parties de l’écran d’un mobile ont été touchées ou effleurées, même 30 secondes après avoir touché le terminal.
Pour réaliser cette expérience, les scientifiques expliquent dans leur étude « Stay Cool! Understanding Thermal Attacks on Mobile-based User Authentication », avoir utilisé une caméra thermique. Ces caméras sont de plus en plus utilisées et abordables (environ 400 dollars dans le cas présent). Les experts ont donc mené « une attaque thermique » et d’expliciter la technique : « Une caméra thermique est capable d’enregistrer les différents rayonnements infrarouge émis par le corps humain, elle capte les traces de chaleur laissées à la surface de l’écran des mobiles après l’authentification (par code PIN ou par geste). Ces traces sont collectées et traitées pour reconstruire le mot de passe. »
Une fois enregistrée, l’image thermique est traitée par un logiciel qui convertit les données en niveaux de gris et réduit les bruits (cf image ci-dessous). Les points chauds peuvent être ensuite isolés dans l’image pour révéler clairement le code secret. Les universitaires constatent que cette méthode est plus fiable que la technique dite « smudge attack » (attaque via les taches) se basant sur la fine pellicule d’huile laissée par les doigts lorsqu’ils touchent l’écran.
L’étude montre que si l’image thermique est recueillie dans les 15 secondes suivant l’entrée du code PIN, l’attaque thermique est capable de le découvrir dans 90% des cas. En 30 secondes, cette précision diminue légèrement à 80%. A 45 secondes et plus, la précision tombe à 35% et en-dessous.
Les scientifiques proposent des pistes pour réduire la portée des attaques thermiques. La première est d’utiliser des outils capables de superposer différents modes d’activation, PIN plus long et schéma de gestes. Un autre moyen est de couvrir les écrans avec toute la main quand on tape son code PIN. Il y aura ainsi une série de traces de chaleur difficiles à exploiter. Enfin, les utilisateurs doivent jouer avec la luminosité de l’écran. Plus elle est élevée, plus la température de l’écran sera forte et moins l’attaque thermique sera performante.
A lire aussi :
Hacker des ordinateurs avec la chaleur des composants
Les LED des PC, des mouchards en puissance
Respectivement DG et CTO de Red Hat France, Rémy Mandon et David Szegedi évoquent le…
Canonical formalise un service de conception de conteneurs minimalistes et y associe des engagements de…
L'Autorité de la concurrence s'apprêterait à inculper NVIDIA pour des pratiques anticoncurrentielles sur le marché…
Le CERT-FR revient sur les failles dans équipements de sécurité présents notamment en bordure de…
Mistral AI formalise ses travaux communs avec l'entreprise finlandaise Silo AI, qui publie elle aussi…
La présidente de Numeum, Véronique Torner, revient sur la genèse de la tribune du collectif…
