Il faudra compter sur une nouvelle méthode pour découvrir le code PIN d’un smartphone : la chaleur des doigts. Une équipe d’informaticiens de l’université de Stuttgart et de Munich a remarqué que les techniques d’imageries thermiques peuvent révéler quelles parties de l’écran d’un mobile ont été touchées ou effleurées, même 30 secondes après avoir touché le terminal.
Pour réaliser cette expérience, les scientifiques expliquent dans leur étude « Stay Cool! Understanding Thermal Attacks on Mobile-based User Authentication », avoir utilisé une caméra thermique. Ces caméras sont de plus en plus utilisées et abordables (environ 400 dollars dans le cas présent). Les experts ont donc mené « une attaque thermique » et d’expliciter la technique : « Une caméra thermique est capable d’enregistrer les différents rayonnements infrarouge émis par le corps humain, elle capte les traces de chaleur laissées à la surface de l’écran des mobiles après l’authentification (par code PIN ou par geste). Ces traces sont collectées et traitées pour reconstruire le mot de passe. »
Une fois enregistrée, l’image thermique est traitée par un logiciel qui convertit les données en niveaux de gris et réduit les bruits (cf image ci-dessous). Les points chauds peuvent être ensuite isolés dans l’image pour révéler clairement le code secret. Les universitaires constatent que cette méthode est plus fiable que la technique dite « smudge attack » (attaque via les taches) se basant sur la fine pellicule d’huile laissée par les doigts lorsqu’ils touchent l’écran.
L’étude montre que si l’image thermique est recueillie dans les 15 secondes suivant l’entrée du code PIN, l’attaque thermique est capable de le découvrir dans 90% des cas. En 30 secondes, cette précision diminue légèrement à 80%. A 45 secondes et plus, la précision tombe à 35% et en-dessous.
Les scientifiques proposent des pistes pour réduire la portée des attaques thermiques. La première est d’utiliser des outils capables de superposer différents modes d’activation, PIN plus long et schéma de gestes. Un autre moyen est de couvrir les écrans avec toute la main quand on tape son code PIN. Il y aura ainsi une série de traces de chaleur difficiles à exploiter. Enfin, les utilisateurs doivent jouer avec la luminosité de l’écran. Plus elle est élevée, plus la température de l’écran sera forte et moins l’attaque thermique sera performante.
A lire aussi :
Hacker des ordinateurs avec la chaleur des composants
Les LED des PC, des mouchards en puissance
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
