Les caméras à détection de chaleur peuvent aider à déchiffrer les mots de passe jusqu’à une minute après les avoir tapés, ont découvert les chercheurs, car ils préviennent que des criminels pourraient développer des systèmes similaires pour pénétrer dans les ordinateurs et les smartphones.
La chaleur du bout des doigts des gens peut être détectée sur les claviers récemment utilisés et, lorsque les images thermiques ont été combinées à l’aide de l’intelligence artificielle, des suppositions éclairées sur ce que pourrait être le mot de passe ont été faites par un outil développé par des chercheurs de l’Université de Glasgow.
Quelque 86 % des mots de passe ont été déchiffrés lorsque des images thermiques ont été prises dans les 20 secondes suivant la saisie du code secret et transmises à leur système ThermoSecure, et 76 % dans les 30 secondes. Le succès est tombé à 62% après 60 secondes d’entrée.
Ils ont également constaté qu’en 20 secondes, le système était capable d’attaquer avec succès même les mots de passe longs de 16 caractères, avec un taux allant jusqu’à 67 % de tentatives correctes.
À mesure que les mots de passe devenaient plus courts, les taux de réussite augmentaient. Les mots de passe à douze symboles ont été devinés jusqu’à 82 % du temps, les mots de passe à huit symboles jusqu’à 93 % du temps et les mots de passe à six symboles ont réussi dans 100 % des tentatives.
Mohamed Khamis, de la School of Computing Science de l’université écossaise, a déclaré : « Ils disent qu’il faut penser comme un voleur pour attraper un voleur.
“Nous avons développé ThermoSecure en réfléchissant soigneusement à la manière dont des acteurs malveillants pourraient exploiter les images thermiques pour pénétrer dans les ordinateurs et les smartphones.”
Dans les images capturées par les caméras de détection de chaleur, les zones apparaissent plus lumineuses plus récemment elles ont été touchées.
Les attaques thermiques peuvent se produire après que les utilisateurs ont tapé leur mot de passe sur un clavier, un écran de smartphone ou un pavé numérique, avant de laisser l’appareil sans surveillance.
Un passant équipé d’une caméra thermique peut prendre une photo qui révèle la signature thermique de l’endroit où ses doigts ont touché l’appareil, plus une zone apparaît lumineuse, plus elle a été touchée récemment.
En mesurant l’intensité relative des zones les plus chaudes, les chercheurs ont découvert qu’il était possible de déterminer les lettres spécifiques, le nombre de symboles qui composent le mot de passe et d’estimer l’ordre dans lequel ils étaient utilisés.
Le Dr Khamis, qui a dirigé le développement de la technologie avec Norah Alotaibi et John Williamson, a déclaré qu’avec des caméras thermiques plus abordables que jamais et que l’apprentissage automatique devenait plus accessible, il était “très probable que les gens du monde entier développent des systèmes similaires à ThermoSecure afin de voler des mots de passe ».
“Il est important que la recherche en sécurité informatique suive le rythme de ces développements pour trouver de nouvelles façons d’atténuer les risques, et nous continuerons à développer notre technologie pour essayer de garder une longueur d’avance sur les attaquants”, a-t-il déclaré.
Les chercheurs, qui ont publié leurs conclusions dans la revue ACM Transactions on Privacy and Security, ont également découvert comment un utilisateur tape affecte la signature thermique laissée sur le clavier, et donc à quel point il était facile de déchiffrer les mots de passe.
Les utilisateurs de clavier “chasser et picorer” qui tapent lentement ont tendance à laisser leurs doigts sur les touches plus longtemps, créant des signatures thermiques qui durent plus longtemps que les dactylographes plus rapides.
Pendant ce temps, le type de matériau à partir duquel les claviers sont fabriqués peut affecter leur capacité à absorber la chaleur, certains plastiques étant beaucoup plus susceptibles de conserver un motif de chaleur que d’autres.
Le Dr Khamis a déclaré que des mots de passe plus longs devraient être utilisés dans la mesure du possible, avec ceux qui sont plus difficiles à deviner avec précision.
“Les claviers rétroéclairés produisent également plus de chaleur, ce qui rend les lectures thermiques précises plus difficiles, de sorte qu’un clavier rétroéclairé avec des plastiques PBT pourrait être intrinsèquement plus sûr”, a-t-il déclaré.
“Enfin, les utilisateurs peuvent aider à rendre leurs appareils et leurs claviers plus sûrs en adoptant des méthodes d’authentification alternatives, comme les empreintes digitales ou la reconnaissance faciale, qui atténuent de nombreux risques d’attaque thermique.”
