Protection par mot de passe : Conseils pour éviter les « attaques thermiques
Des experts en sécurité informatique écossais ont mis au point un système qui utilise l’imagerie thermique et l’intelligence artificielle pour deviner les mots de passe des ordinateurs et des smartphones en quelques secondes.
« On dit qu’il faut penser comme un voleur pour attraper un voleur », a déclaré Mohamed Khamis, professeur associé d’informatique à l’Université de Glasgow, dans un communiqué de presse. « Nous avons développé ThermoSecure en réfléchissant soigneusement à la façon dont les acteurs malveillants pourraient exploiter les images thermiques pour s’introduire dans les ordinateurs et les smartphones. »
Les résultats de la recherche ont été publiés dans une nouvelle étude dans la revue à comité de lecture ACM Transactions on Privacy and Security.
ThermoSecure fonctionne essentiellement en analysant les traces de chaleur laissées par le bout de vos doigts lorsque vous saisissez votre mot de passe sur un clavier ou un appareil mobile. Comme les zones plus claires sur une image thermique à détection de chaleur indiquent les endroits qui ont été touchés plus récemment, il est alors possible de discerner l’ordre dans lequel des lettres, des chiffres et des symboles spécifiques ont été utilisés. Pour ce faire, Khamis et son équipe ont utilisé l’apprentissage automatique et 1 500 images thermiques de claviers QWERTY récemment utilisés pour entraîner un modèle d’intelligence artificielle à lire les signatures thermiques, puis à prendre des décisions éclairées sur les mots de passe potentiels.
Le système a pu révéler 86 % des mots de passe lorsqu’une image thermique était prise dans les 20 secondes suivant la frappe. Dans les 30 secondes, le taux de réussite tombait à 76 %, tandis qu’après 60 secondes, il tombait à 62 %.
L’équipe a constaté que les mots de passe plus longs offraient une meilleure protection. En 20 secondes, ThermoSecure n’a pu craquer que 67 % des mots de passe à 16 caractères, mais son taux de réussite est passé à 82 % pour les mots de passe à 12 symboles, à 93 % pour les mots de passe à 8 symboles et à 100 % pour les mots de passe à 6 symboles.
Le style de frappe a également eu un impact. Les utilisateurs de claviers à recherche lente ont tendance à s’attarder davantage sur les touches, créant ainsi des signatures thermiques plus durables que les utilisateurs de claviers à touches rapides. Après 30 secondes, ThermoSecure a pu deviner les mots de passe des premiers groupes avec 92 % de précision, contre 80 % pour le groupe le plus rapide.
Les propriétés d’absorption de chaleur des différents matériaux de clavier ont même joué un rôle. ThermoSecure a pu deviner les mots de passe sur des touches fabriquées avec des plastiques ABS dans 52 % des cas, mais seulement dans 14 % des cas lorsqu’elles étaient fabriquées avec des plastiques PBT, qui sont moins courants.
Les caméras thermiques devenant plus abordables et l’apprentissage automatique plus accessible, l’équipe derrière ThermoSecure suggère que les types d' »attaques thermiques » menées pour leur étude pourraient devenir de plus en plus courants. En plus de suggérer des méthodes d’authentification numérique alternatives comme la reconnaissance des empreintes digitales ou du visage, ils offrent plusieurs conseils pour protéger vos mots de passe.
« Les mots de passe longs sont plus difficiles à deviner pour ThermoSecure, nous conseillons donc d’utiliser des phrases de passe longues autant que possible », explique Khamis. « Les claviers rétroéclairés produisent également plus de chaleur, ce qui rend les lectures thermiques précises plus difficiles, de sorte qu’un clavier rétroéclairé avec des plastiques PBT pourrait être intrinsèquement plus sûr. »