All time Branchez-vous Branche Toi BetterBe Nerds Carrières

Les capteurs de votre téléphone pourrait révéler vos NIP et mots de passe

Par Laurent LaSalle – le dans Actualités
Des experts en sécurité ont démontré qu'il était possible d'exploiter les capteurs de mouvements d'un téléphone pour lui donner la vocation d'un enregistreur de frappe (keylogger).

Selon la force à laquelle vous tapez fièrement le code permettant de déverrouiller votre téléphone, il serait bien possible qu’une personne mal intentionnée puisse déterminer quel est votre NIP.

Comme le rapporte aujourd’hui Engadget, c’est en effet ce qu’a démontré une équipe de l’Université de Newcastle au Royaume-Uni. Lors de leurs expériences, en recueillant les données des angles et mouvements d’un appareil mobile lors de l’inscription d’un code à quatre chiffres, les chercheurs sont parvenus à déduire avec succès celui-ci dans 70% des cas dès leur première tentative. Ce taux de réussite atteint 100% lorsqu’on leur accorde un maximum de 5 chances.

«La plupart des téléphones intelligents, tablettes et autres accessoires connectés sont maintenant équipés d’une multitude de capteurs», explique Maryam Mehrnezhad, chercheuse du département de sciences informatiques ayant piloté l’étude.

«Mais puisque les applications et sites web n’ont pas besoin de demander d’autorisation pour accéder à la plupart d’entre eux, des logiciels malveillants peuvent “écouter” de manière furtive les données de vos captures et les utiliser pour découvrir une foule d’informations sensibles à votre sujet», ajoute-t-elle, citant en exemples les numéros de téléphone que vous avez composés, vos activités physiques, votre NIP et vos mots de passe.

Encore plus inquiétant : sous certains navigateurs, un tel maliciel peut continuer de prélever les données des capteurs de mouvements même lorsque le site qui l’héberge se retrouve dans un onglet masqué. Par conséquent, toute information confidentielle inscrite sur un autre site web (par exemple, celui de votre institution financière) serait susceptible d’être prélevée par autrui en exploitant cette méthode.

L’équipe de l’Université de Newcastle a déjà informé les développeurs des plus populaires navigateurs mobiles de leur découverte.

Pour parvenir à réaliser cet exploit, l’équipe a entraîné un réseau neuronal (ou une intelligence artificielle) avec les données puisées de personnes ayant volontairement tapé divers NIP afin de produire les profils correspondants pouvant être exploités par un algorithme. Celui-ci a ensuite été intégré à un code JavaScript diffusé vers le navigateur d’un téléphone. Lorsque l’utilisateur visite le site en question, il devient «sous écoute», et l’algorithme est alors en mesure de collecter les données des capteurs de mouvement pour tenter de déterminer ce qui est tapé par ce dernier.

Bien entendu, il est important de souligner que l’étude n’a démontré l’efficacité de cette preuve de concept que pour des codes à quatre chiffres (tapés par le biais du clavier numérique), et non des mots de passe plus complexes (tapés par le biais du clavier conventionnel). Mais logiquement, il suffirait de renforcer le réseau neuronal en l’entraînant avec davantage de données pour que celui-ci gagne la capacité de déduire les frappes avec une plus grande précision.

L’équipe de l’Université de Newcastle a déjà informé les développeurs des plus populaires navigateurs mobiles de leur découverte. Pour l’instant toutefois, aucun d’entre eux ne semble être parvenu à trouver une solution définitive.

«C’est un combat entre convivialité et sécurité», ajoute Mehrnezhad. «Nous sommes tous enthousiastes devant le téléphone dernier cri offrant les toutes dernières fonctionnalités et une meilleure expérience utilisateur, mais parce qu’il n’existe pas de façon uniforme de gérer les capteurs dans l’ensemble de l’industrie, ils constituent une menace réelle pour notre sécurité personnelle.»

«Une option serait de refuser l’accès [des données des capteurs] au navigateur, mais on ne souhaite pas perdre tous les bénéfices associés aux capteurs de mouvements intégrés.»

À noter qu’Apple et Mozilla ont partiellement résolu le problème avec les dernières versions de Safari et Firefox à la lumière de cette découverte l’an dernier. De son côté, Google travaillerait toujours à développer un correctif pour la version mobile de Chrome.

Continuez votre lecture

Ces mots de passe sont les plus piratés au monde

Ces mots de passe sont les plus piratés au monde

Branchez-vous -
Facebook continue sur sa lancée : des millions de mots de passe Instagram stockés en clair

Facebook continue sur sa lancée : des millions de mots de passe Instagram stockés en clair

Branchez-vous -
Google Chrome 74 : le « dark mode » arrive sur Windows

Google Chrome 74 : le « dark mode » arrive sur Windows

Branchez-vous -
Android 10Q : la barre de navigation définitivement supprimée ?

Android 10Q : la barre de navigation définitivement supprimée ?

Branchez-vous -
Chrome et Google perdent leur hégémonie sur Android : désormais vous aurez le choix

Chrome et Google perdent leur hégémonie sur Android : désormais vous aurez le choix

Branchez-vous -
Microsoft Outlook, Hotmail et MSN piratés : vérifiez vos emails

Microsoft Outlook, Hotmail et MSN piratés : vérifiez vos emails

Branchez-vous -
L’authentification sans mot de passe pourrait bientôt être réalité

L’authentification sans mot de passe pourrait bientôt être réalité

Laurent LaSalle -
Notre-Dame de Paris : comment Assassin’s Creed Unity pourrait aider à reconstruire la cathédrale

Notre-Dame de Paris : comment Assassin’s Creed Unity pourrait aider à reconstruire la cathédrale

Matthieu Carlier -
Remplacer les mots de passe par des empreintes cérébrales?

Remplacer les mots de passe par des empreintes cérébrales?

Google adopte la clé de sécurité physique

Google adopte la clé de sécurité physique

Laurent LaSalle -
Le Google Play Store permettrait de gérer les mises à jour de votre smartphone

Le Google Play Store permettrait de gérer les mises à jour de votre smartphone

Branchez-vous -
Facebook bientôt en mesure de mieux identifier les visages

Facebook bientôt en mesure de mieux identifier les visages

Laurent LaSalle -
Les femmes seraient meilleures que les hommes en programmation selon une étude

Les femmes seraient meilleures que les hommes en programmation selon une étude

Laurent LaSalle -
Quand l’internaute fait une surdose de mots de passe

Quand l’internaute fait une surdose de mots de passe

Huawei EMUI 9.1 : voici les smartphones compatibles avec la mise à jour

Huawei EMUI 9.1 : voici les smartphones compatibles avec la mise à jour

Branchez-vous -

Laurent LaSalle

Depuis qu'il a tapoté sur son Commodore Vic-20 à l'âge de 3 ans, Laurent est (un peu trop) obsédé par la technologie. Passionné d'informatique et de jeux vidéo, il a notamment été blogueur pour Radio-Canada et chroniqueur techno pour MusiquePlus .