Code secret du smartphone : les hackers peuvent désormais le deviner en filmant vos yeux !

 

Le code secret de votre smartphone peut être facilement être deviné par des hackers juste en filmant vos yeux. Des chercheurs en sécurité des universités du Delaware et d’Arizona viennent en effet de démontrer cette nouvelle technique qui ne nécessite qu’une caméra à quelques mètres de distance de la victime, et qui fonctionne aussi bien pour les codes que les schémas de déverrouillage. Pour améliorer la fiabilité de la détection, les images sont analysées par un algorithme probabiliste. En outre plus le mot de passe ou le schéma est long, meilleure est la détection. Baptisé EyeTell, ce système peut ainsi même obtenir de bons résultats avec des mots de passe alphanumériques plus complexes. 

smartphone mot de passe

Devra-t-on bientôt mettre des lunettes de soleil à chaque fois que l’on déverrouille son smartphone ? Des chercheurs des universités du Delaware et d’Arizona viennent de faire une démonstration d’une technique aussi simple qu’efficace pour deviner les mots de passe de tous les mobile. Leur technique, baptisée EyeTell, repose sur l’observation du mouvement des yeux et le calcul probabiliste. L’attaque ne permet pas toujours de trouver directement les mots de passe, mais elle réduit dans tous les cas considérablement le temps nécessaire à une attaque de type brute force (où toutes les combinaisons sont testées). Encore plus intéressant : le taux d’erreur du système diminue à mesure que la complexité du mot de passe… augmente.

Code secret du smartphone : faut-il cacher ses yeux lorsqu’on le tape ?

Ainsi en filmant les yeux de 22 personnes à quelques mètres de distance avec un caméscope Panasonic HCV7000, les chercheurs sont parvenus à deviner le code PIN qu’ils entraient sur leur iPhone 6S ou leur Nexus 6 avec un taux de succès de 57% et 39%. Immédiatement, un algorithme calcule une dizaine de codes secrets et schémas potentiels avec un taux de succès respectif de 75,3% et 80%. Pour les codes alphanumériques, le taux de succès était tout de même de 48%.

En outre un code PIN à 6 chiffres donne de meilleurs résultats qu’un code PIN à 4 chiffres. Même chose pour un schéma complexe où la fiabilité peut aller jusqu’à 83%. Les lunettes de soleil ne sont pas la seule parade contre ces genre d’attaque. Le temps que l’on passe à déverrouiller le code est un facteur déterminant, de même que notre propension à bouger ou non les yeux lorsqu’on entre le fameux sésame.

Autant dire que la sécurité des smartphones classique n’est pas sans failles. Mais les dispositifs biométriques qui doivent la remplacer ne sont pas sans faille non plus : on a vu comment le face unlock des Galaxy S8/S9 pouvait être trompé avec une simple photo, celui de l’iPhone X avec un masque spécial. Reste aux constructeurs à inventer de nouvelles manières de sécuriser l’accès au smartphone qui soit à la fois pratique et moins vulnérable à ce type d’attaques.



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !
top 200 pires mots passe 2020
Voici le top 200 des pires mots de passe de 2020

Le top 200 des pires mots de passe de l’année 2020 est désormais disponible. Comme tous les ans, l’indémodable 123456 arrive en tête du classement. Parmi les thématiques favorites des internautes, on trouve le divertissement, les grossièretés, les prénoms ou les suites de chiffres….

tesla powerwall faille
Tesla : une importante faille de sécurité menace les batteries Powerwall

Des chercheurs en sécurité informatique ont détecté une faille de sécurité importante dans le Tesla Backup Gateway, le système qui gère les connexions au réseau des Powerwall, les batteries de stockage d’énergie domestiques du constructeur. En 2015, Tesla a lancé…

carte sim arnaque
Elle se fait pirater sa carte SIM et perd 17 000 €

Un pirate a réussi à pirater la carte SIM d’une utilisatrice à de multiples reprises, interceptant à sa place les SMS de double authentification. Malgré de nombreuses tentatives pour stopper le processus, le hacker a réussi à voler 17 000…