Comment des hackers peuvent pirater vos mots de passe à l’aide d’une caméra thermique

Une équipe de chercheurs de l'Université de Glasgow a imaginé ThermoSecure, un programme tirant parti de l'apprentissage automatique. Ce dernier interprète les traces thermiques laissées sur des claviers d'ordinateur pour reconstituer les mots saisis par les utilisateurs. 

Une équipe de chercheurs de l’Université de Glasgow a publié un papier nommé “ThermoSecure: Investigating the effectiveness of AI-driven thermal attacks on commonly used computer keyboards”, (ThermoSecure : étude l’efficacité des attaques à base d'Intelligence artificielle sur les claviers d’ordinateurs les plus utilisés). Cette étude démontre qu’il est possible de déduire le mot de passe d’un utilisateur en capturant une image thermique de son clavier quelques secondes après la saisie.

À lire – 60% des internautes utilisent le même mot de passe sur plusieurs plateformes malgré les dangers

Dans un environnement contrôlé, les touches gardent un résidu de chaleur pendant 30 à 60 secondes après la saisie. Nombre d’études antérieures ont démontré qu’un public non-expert est capable d'interpréter les empreintes thermiques laissées sur les touches des distributeurs automatiques de billets, les écrans tactiles de smartphones ou encore sur les pavés tactiles des ordinateurs portables. Leurs tentatives de reconstituer un mot de passe de la sorte étaient couronnées de succès entre 72% à 100% du temps.

Dans les bonnes conditions, ThermoSecure devine les mots de passe avec une efficacité allant de 76 à 86 %

L’objectif des scientifiques de l’université écossaise est de démontrer qu’il est possible de perfectionner cette technique empirique en tirant parti de l’apprentissage automatique. Pour ce faire, ils ont conçu ThermoSecure, un système d’analyse des images thermiques capable d’estimer les caractères saisis par les utilisateurs. Ils ont évalué l’efficacité de leur programme à travers deux études d’utilisateurs qui ont généré 1500 images de claviers.

À lire – Votre mot de passe doit compter au moins 8 caractères pour éviter un piratage, voici pourquoi

ThermoSecure s’est révélé d’une efficacité redoutable. Lorsque la photographie thermique était prise dans les 20 secondes suivant l'utilisation du clavier, il a été capable de déterminer 86 % des mots de passe saisis. La précision de ses prédictions baisse fortement si le clavier est photographié plus de 30 secondes après la saisie, à 76 %. Cette technique pourrait donc être exploitée de manière malveillante par des pirates et autres cybercriminels, s’ils ont l’équipement nécessaire pour rapidement prendre un cliché du clavier de leur victime.

Cela dit, plusieurs facteurs viennent brouiller les prédictions de ThermoSecure. La composition du clavier influe sur sa rétention de chaleur. Les chercheurs conseillent les claviers en PBT (plus rares donc plus chers) plutôt qu'en ABS. De plus, les mots de passe longs, complexes et rapidement saisis sont plus difficiles à reconstituer pour l’Intelligence artificielle. À en voir la simplicité du mot de passe le plus populaire en France, les cybercriminels ont encore de beaux jours devant eux.

Source : University Of Glasgow