Carte bancaire : cet algorithme peut deviner votre code PIN, même en le cachant avec votre main !

Des chercheurs en sécurité informatique ont développé un algorithme capable de devenir le code PIN de votre carte bleue, et ce même si vous vous protégez avec votre main. Dans 41% des cas, les chercheurs parviennent à obtenir le précieux sésame.

Même si le phishing reste l'une des méthodes préférées des pirates pour obtenir vos coordonnées bancaires, à l'image de ce faux SMS Chronopost ou bien de ces faux avis de contravention, certains escrocs tentent encore et toujours d'aller droit au but en essayant de vous espionner au distributeur de billets (DAB). Reste que ce mode opératoire n'est pas forcément le plus rentable, puisqu'il nécessite généralement d'avoir mis en place une réplique du DAB ciblé pour maximiser les chances de succès.

Mais des chercheurs en sécurité informatique ont trouvé un autre moyen pour obtenir le code PIN d'un utilisateur. En effet, ils ont développé un algorithme capable de devenir le code PIN d'un client depuis un DAB. Grâce à l'apprentissage automatique, cet algorithme affiche des résultats prometteurs et inquiétants à la fois : il parvient à obtenir le bon code PIN à 4 chiffres dans 41% des cas.

Pour ce faire, il faut encore et toujours avoir installé une réplique du DAB ciblé, car l'algorithme prend un compte les dimensions spécifiques du DAB et l'espacement entre les touches pour affiner ses résultats. Il est ensuite entraîné à reconnaître les pressions sur le clavier, et attribue des probabilités spécifiques à un ensemble de suppositions.

À lire également : Apple Pay, Google Pay – les applications de paiement peuvent faire fuiter vos coordonnées bancaires

Cet algorithme devine votre code PIN en moins de deux

Pour les besoins de l'expérience, les chercheurs ont recueilli 5800 vidéos de 58 personnes différentes en train de saisir des codes PIN à 4 ou 5 chiffres sur le DAB trafiqué pour l'occasion. En s'autorisant trois essais, soit le nombre d'essais maximal avant de bloquer la carte, les chercheurs ont reconstruit la séquence correcte pour un PIN à 5 chiffres dans 30% des cas, et dans 41% des cas pour un PIN à 4 chiffres.

Précisons que les chercheurs se servent également d'une caméra positionnée sur la partie supérieure du DAB pour filmer et analyser les mains du client. L'algorithme peut ainsi exclure des touches en fonction de la couverture de la main qui ne tape pas, et déduire les chiffres pressés à partir des mouvements de l'autre main en évaluant la distance entre deux touches. Et si la caméra en question est capable de capturer du son, le modèle pourrait également reconnaître et retenir le son de chaque touche lorsqu'un utilisateur appuie dessus, de sorte à rendre les prédictions encore plus précises.

Pour se défendre contre ce genre d'attaque particulièrement élaborée, les chercheurs conseillent avant tout d'opter systématiquement pour un code PIN à 5 chiffres si votre banque le permet. En outre, ils recommandent d'essayer de couvrir au maximum le clavier avec votre autre main (plus votre main couvre la zone, plus la précision des prédictions seront réduites). Une troisième contre-mesure serait d'équiper les DAB avec des claviers virtuels à la place des claviers mécaniques standards.

Source : Bleeding Computer