WindTalker : pirater des codes PIN en sniffant le WiFi des smartphones

Des chercheurs ont trouvé un moyen de récupérer des données sensibles en se basant sur les perturbations du signal WiFi lors des frappes sur l’écran.

Quand un utilisateur déplace ses doigts sur l’écran tactile de son téléphone, il perturbe le signal WiFi émis par son terminal. Ces interruptions peuvent être interceptées par un pirate, analysées et en appliquant de la rétro-ingénierie deviner quelle sont les frappes saisies sur le téléphone ou dans les champs de saisie de mot de passe.

Ce type d’attaque est nommé WindTalker (messager du vent), par des chercheurs chinois et elle n’est possible que si le pirate contrôle le point d’accès WiFi (un hotspot par exemple dans un rayon de 1,5 mètre) afin de collecter les perturbations du signal WiFi. Un contrôle impératif pour analyser le trafic et savoir quand l’utilisateur accède à des pages nécessitant une authentification.

Le CSI en ligne de mire

Si l’attaque semble issue du domaine de la science-fiction, cette menace se sert du CSI (Channel State Information),  un composant du protocole WiFi chargé de fournir les informations générales sur l’état du signal WiFi. Quand l’utilisateur tape du texte sur l’écran, sa main modifie les propriétés de CSI du signal WiFi sortant et la modification peut être captée par un point d’accès malveillant.

Dans une démonstration exposée lors de la ACM Conference on Computer and Communications Security à Vienne, les chercheurs ont montré qu’en réalisant une analyse et un traitement basique du signal, un pirate peut avoir accès aux signaux CSI perturbés et deviner avec une précision moyenne de 68,3% les caractères qu’un utilisateur a tapé. La précision de WindTalker est différente selon les modèles de smartphones et elle peut être améliorée avec le niveau de données collectées.

Une attaque furtive

Afin d’exemple, les experts ont testé WindTalker in vivo en récupérant le code PIN d’authentification d’une transaction réalisée sur l’application mobile AliPay. « Pour déterminer les moments où les données sensibles sont tapées, WindTalker s’exécute en temps réel pour collecter les données pour collecter les métadonnées des applications mobiles. Dans le cas d’AliPay, l’application route les données vers un serveur avec une adresse spécifique « 10.75.xx.xx ». Cette adresse IP est stable pendant 2 à 3 semaines. Avec les métadonnées, WindTalker peut déterminer le début et la fin de cette fenêtre où les données sensibles sont frappées via les paquets envoyés à l’adresse 10.75.xx.xx. Enfin WindTalker analyse les correspondances CSI pendant cette période », indique les chercheurs dans leur communication : When CSI meets public wifi: Inferring your mobile phone password via wifi signals.

Pour être plus précis, pendant cette fenêtre sensible, WindTalker envoie des requêtes ICMP Echo au smartphone cible à environ 800 paquets par seconde. Le terminal répond alors en Echo Reply. Pour un paquet ICMP de 98 octets envoyé à 800 paquets / seconde, la consommation de bande passante est seulement de 78,4 Kb / s, ce qui ne dégradera pas sensiblement l’expérience WiFi de la cible. Donc impossible à détecter pour l’utilisateur.

WindTalker se situe dans la lignée d’autres méthodes pour récupérer des mots de passe ou des codes PIN à distance. Un chercheur français s’est servi par exemple d’une smartwatch et les mouvements pour taper un code pour en déduire celui-ci. D’autres spécialistes étaient passés par le micro du smartphone pour capter le son émis lors de la frappe. 

A lire aussi :

WiFi public : la justice européenne flingue l’anonymat sur l’autel du droit d’auteur

Le WiFi des locations Airbnb est plus risqué que le WiFi public

 

Photo credit: when i was a bird via VisualHunt / CC BY-NC-ND