La chaleur des doigts pour pirater le code PIN des smartphones

Jacques Cheminat,

Des chercheurs ont découvert une méthode pour trouver le code PIN d’un smartphone en utilisant l’empreinte thermique laissée par les doigts sur le terminal.

Il faudra compter sur une nouvelle méthode pour découvrir le code PIN d’un smartphone : la chaleur des doigts. Une équipe d’informaticiens de l’université de Stuttgart et de Munich a remarqué que les techniques d’imageries thermiques peuvent révéler quelles parties de l’écran d’un mobile ont été touchées ou effleurées, même 30 secondes après avoir touché le terminal.

Pour réaliser cette expérience, les scientifiques expliquent dans leur étude « Stay Cool! Understanding Thermal Attacks on Mobile-based User Authentication », avoir utilisé une caméra thermique. Ces caméras sont de plus en plus utilisées et abordables (environ 400 dollars dans le cas présent). Les experts ont donc mené « une attaque thermique » et d’expliciter la technique : « Une caméra thermique est capable d’enregistrer les différents rayonnements infrarouge émis par le corps humain, elle capte les traces de chaleur laissées à la surface de l’écran des mobiles après l’authentification (par code PIN ou par geste). Ces traces sont collectées et traitées pour reconstruire le mot de passe. »

30 secondes pour pirater le code PIN avec succès

Une fois enregistrée, l’image thermique est traitée par un logiciel qui convertit les données en niveaux de gris et réduit les bruits (cf image ci-dessous). Les points chauds peuvent être ensuite isolés dans l’image pour révéler clairement le code secret. Les universitaires constatent que cette méthode est plus fiable que la technique dite « smudge attack » (attaque via les taches) se basant sur la fine pellicule d’huile laissée par les doigts lorsqu’ils touchent l’écran.

attaque thermique methode

L’étude montre que si l’image thermique est recueillie dans les 15 secondes suivant l’entrée du code PIN, l’attaque thermique est capable de le découvrir dans 90% des cas. En 30 secondes, cette précision diminue légèrement à 80%. A 45 secondes et plus, la précision tombe à 35% et en-dessous.

Les scientifiques proposent des pistes pour réduire la portée des attaques thermiques. La première est d’utiliser des outils capables de superposer différents modes d’activation, PIN plus long et schéma de gestes. Un autre moyen est de couvrir les écrans avec toute la main quand on tape son code PIN. Il y aura ainsi une série de traces de chaleur difficiles à exploiter. Enfin, les utilisateurs doivent jouer avec la luminosité de l’écran. Plus elle est élevée, plus la température de l’écran sera forte et moins l’attaque thermique sera performante.

A lire aussi :

Hacker des ordinateurs avec la chaleur des composants

Les LED des PC, des mouchards en puissance