Attaque thermique : Révéler un mot de passe en quelques secondes… à distance

Un nouveau système d’attaque thermique aidée par l’Intelligence artificielle peut révéler votre code PIN ou un mot de passe en quelques secondes. Il s’agit d’une nouvelle technique qui pourrait coûter très cher. On vous explique pourquoi et comment s’en prémunir.

ThermoSecure : Thermo-attaque

Des experts en sécurité ont mis au point une nouvelle technique. Le système est capable de deviner les mots de passe des utilisateurs sur ordinateur, téléphone, terminal de paiement et distributeurs de billets… en quelques secondes ! Cette technique utilise la chaleur laissée par vos doigts sur les claviers et écrans.

Cette idée surprenante a été élaborée par des chercheurs de l’université de Glasgow, ils l’ont appelée ThermoSecure. Cette technique a pour objectif de démontrer que de nouveaux risques vont apparaître très prochainement. En effet, le prix des caméras thermiques est en forte diminution (environ 250 euros) et l’accès à l’Intelligence artificielle est de plus en plus accessible. Une personne mal attentionnée peut facilement concevoir un système afin de collecter vos mots de passe.

Cette nouvelle menace, nommée « attaques thermiques », se produit après la saisie du code sur un clavier d’ordinateur, sur un écran de téléphone ou sur un clavier d’un distributeur automatique. Un badaud muni d’une caméra thermique prend une photo du clavier ou de l’écran qui va révéler la chaleur résiduelle sur chacune des touches en contact avec vos doigts. Sur l’image apparaissent des zones plus vives, ce sont les touches dernièrement utilisées. Il est ainsi possible de déterminer quels sont les lettres, chiffres ou symboles qui composent votre mot de passe. Il est même possible d’en déterminer l’ordre.

86% des mots de passe révélés en 60 secondes

Les études précédentes avaient déjà démontré qu’une personne non spécialisée pouvait découvrir des mots de passe simplement en observant consciencieusement des images thermiques (jusqu’à 60 secondes après que les surfaces aient été touchées). Des recherches menées plus récemment indiquent comment il est possible d’exploiter l’apprentissage automatique afin de rendre le processus d’attaque encore plus précis. Pour ce faire, pas moins de 1 500 photos thermiques de claviers QWERTY fraîchement utilisés ont été prises sous différents angles. Un modèle d’Intelligence artificielle a ensuite été entraîné dans le but de lui apprendre à lire efficacement les images et deviner les mots de passe à partir des signatures thermiques.

Il a été démontré que :

  • Plus la photo thermique est prise rapidement après la frappe, plus le système est performant : 86% des mots de passe ont été révélés lorsque les images ont été prises dans les 20 secondes, 76% dans les 30 secondes et 62% après 60 secondes ;
  • Plus le plus le mot de passe est court plus le système est performant : en 20 secondes, Thermosecure est en mesure de découvrir 67% des mots de passe longs de 16 caractères, 82% pour 12 caractères, 93% avec 8 caractères et 100% de réussite pour les mots de passe contenant 6 caractères.

Afin de deviner encore plus facilement les mots de passe, d’autres paramètres ont été examinés comme la vitesse de frappe. Plus l’utilisateur frappe lentement, plus longtemps la signature thermique reste sur les touches (elle reste moins forte sur les claviers tactiles). De même, les matériaux utilisés pour la fabrication des claviers modifient l’absorption de la chaleur. Les touches en plastique ABS retiennent plus la chaleur que ceux en plastique PBT.

Le PassKey va-t-il enterrer le mot de passe ? Le PassKey va-t-il enterrer le mot de passe ?

Quelles protections ?

Voici quelques suggestions pour se protéger des attaques thermiques :

  • Utiliser des mots de passe longs, car ils sont plus difficiles à deviner et encore mieux si vous les utilisez sur des claviers tactiles ou des claviers rétroéclairés ;
  • Utiliser des méthodes d’authentification différentes telles que la reconnaissance des empreintes digitales ou du visage.

Pour contrer les voleurs, il faut penser comme un voleur : voilà comment ont raisonné les chercheurs de l’Université de Glasgow. En effet, l’accès aux caméras thermiques devient de plus en plus abordable. Il est plus que probable que ces personnes malintentionnées développent une technologie afin de détourner les mots de passe. Il est primordial d’être en avance dans la recherche de sécurité afin de limiter un maximum de risque.

Bien qu’avec un unique objectif de recherche, cette méthode est un avertissement clair : les mots de passe courts et les codes PIN, comme ceux que nous utilisons pour accéder à nos comptes bancaires à un guichet automatique, sont extrêmement vulnérables. Les terminaux de paiement et les distributeurs automatiques de billets restent très vulnérables. L’utilisation de gants tactiles sera peut-être une solution…