Code secret du smartphone : les hackers peuvent désormais le deviner en filmant vos yeux !

Le code secret de votre smartphone peut être facilement être deviné par des hackers juste en filmant vos yeux. Des chercheurs en sécurité des universités du Delaware et d’Arizona viennent en effet de démontrer cette nouvelle technique qui ne nécessite qu'une caméra à quelques mètres de distance de la victime, et qui fonctionne aussi bien pour les codes que les schémas de déverrouillage. Pour améliorer la fiabilité de la détection, les images sont analysées par un algorithme probabiliste. En outre plus le mot de passe ou le schéma est long, meilleure est la détection. Baptisé EyeTell, ce système peut ainsi même obtenir de bons résultats avec des mots de passe alphanumériques plus complexes. 

Devra-t-on bientôt mettre des lunettes de soleil à chaque fois que l'on déverrouille son smartphone ? Des chercheurs des universités du Delaware et d'Arizona viennent de faire une démonstration d'une technique aussi simple qu'efficace pour deviner les mots de passe de tous les mobile. Leur technique, baptisée EyeTell, repose sur l'observation du mouvement des yeux et le calcul probabiliste. L'attaque ne permet pas toujours de trouver directement les mots de passe, mais elle réduit dans tous les cas considérablement le temps nécessaire à une attaque de type brute force (où toutes les combinaisons sont testées). Encore plus intéressant : le taux d'erreur du système diminue à mesure que la complexité du mot de passe… augmente.

Code secret du smartphone : faut-il cacher ses yeux lorsqu'on le tape ?

Ainsi en filmant les yeux de 22 personnes à quelques mètres de distance avec un caméscope Panasonic HCV7000, les chercheurs sont parvenus à deviner le code PIN qu'ils entraient sur leur iPhone 6S ou leur Nexus 6 avec un taux de succès de 57% et 39%. Immédiatement, un algorithme calcule une dizaine de codes secrets et schémas potentiels avec un taux de succès respectif de 75,3% et 80%. Pour les codes alphanumériques, le taux de succès était tout de même de 48%.

En outre un code PIN à 6 chiffres donne de meilleurs résultats qu'un code PIN à 4 chiffres. Même chose pour un schéma complexe où la fiabilité peut aller jusqu'à 83%. Les lunettes de soleil ne sont pas la seule parade contre ces genre d'attaque. Le temps que l'on passe à déverrouiller le code est un facteur déterminant, de même que notre propension à bouger ou non les yeux lorsqu'on entre le fameux sésame.

Autant dire que la sécurité des smartphones classique n'est pas sans failles. Mais les dispositifs biométriques qui doivent la remplacer ne sont pas sans faille non plus : on a vu comment le face unlock des Galaxy S8/S9 pouvait être trompé avec une simple photo, celui de l'iPhone X avec un masque spécial. Reste aux constructeurs à inventer de nouvelles manières de sécuriser l'accès au smartphone qui soit à la fois pratique et moins vulnérable à ce type d'attaques.