Il faudra compter sur une nouvelle méthode pour découvrir le code PIN d’un smartphone : la chaleur des doigts. Une équipe d’informaticiens de l’université de Stuttgart et de Munich a remarqué que les techniques d’imageries thermiques peuvent révéler quelles parties de l’écran d’un mobile ont été touchées ou effleurées, même 30 secondes après avoir touché le terminal.
Pour réaliser cette expérience, les scientifiques expliquent dans leur étude « Stay Cool! Understanding Thermal Attacks on Mobile-based User Authentication », avoir utilisé une caméra thermique. Ces caméras sont de plus en plus utilisées et abordables (environ 400 dollars dans le cas présent). Les experts ont donc mené « une attaque thermique » et d’expliciter la technique : « Une caméra thermique est capable d’enregistrer les différents rayonnements infrarouge émis par le corps humain, elle capte les traces de chaleur laissées à la surface de l’écran des mobiles après l’authentification (par code PIN ou par geste). Ces traces sont collectées et traitées pour reconstruire le mot de passe. »
Une fois enregistrée, l’image thermique est traitée par un logiciel qui convertit les données en niveaux de gris et réduit les bruits (cf image ci-dessous). Les points chauds peuvent être ensuite isolés dans l’image pour révéler clairement le code secret. Les universitaires constatent que cette méthode est plus fiable que la technique dite « smudge attack » (attaque via les taches) se basant sur la fine pellicule d’huile laissée par les doigts lorsqu’ils touchent l’écran.
L’étude montre que si l’image thermique est recueillie dans les 15 secondes suivant l’entrée du code PIN, l’attaque thermique est capable de le découvrir dans 90% des cas. En 30 secondes, cette précision diminue légèrement à 80%. A 45 secondes et plus, la précision tombe à 35% et en-dessous.
Les scientifiques proposent des pistes pour réduire la portée des attaques thermiques. La première est d’utiliser des outils capables de superposer différents modes d’activation, PIN plus long et schéma de gestes. Un autre moyen est de couvrir les écrans avec toute la main quand on tape son code PIN. Il y aura ainsi une série de traces de chaleur difficiles à exploiter. Enfin, les utilisateurs doivent jouer avec la luminosité de l’écran. Plus elle est élevée, plus la température de l’écran sera forte et moins l’attaque thermique sera performante.
A lire aussi :
Hacker des ordinateurs avec la chaleur des composants
Les LED des PC, des mouchards en puissance
OpenAI orchestre un déploiement très progressif de GPT-4o, y compris de ses capacités multimodales.
Elon Musk avait racheté le nom de domaine X.com à PayPal en 2017. Depuis juillet 2023,…
Des centaines d'ingénieurs en IA et cloud travaillant pour Microsoft se voient proposer de quitter…
Reddit s'ajoute à la liste des « partenaires data » d'OpenAI. Qui rejoint-il ?
Younited a utilisé PaLM 2 puis Gemini pour catégoriser des transactions bancaires en vue de…
Les États-Unis vont tripler leur capacité nationale de fabrication de puces et contrôler 30 %…
