Face à la montée des cyberattaques, le FBI et la CISA recommandent d’arrêter d’envoyer des SMS entre utilisateurs d'iPhone et d'Android. Un conseil qui ne vise pas seulement les Américains mais tous les...
Vous arrive-t-il de douter de la fiabilité de votre mot de passe ? Si oui, vous avez certainement déjà échangé avec un informaticien sur la meilleure façon de le renforcer. Et celui-ci, doit, à l'heure qu'il est, sans doutes contenir soit des caractères spéciaux, soit trois mots choisis au hasard, ou les deux. C’est en tout cas, la recommandation de la très sérieuse National Cyber Security Center (NCSC) du Royaume-Uni d’août 2021. Cette dernière publiait une note de recommandation incitant à utiliser une combinaison du type "Chat-tarte-feuille", bien plus efficace selon elle que des variations complexes de lettres, de chiffres et de symboles comme "xOsMw$34", rappelle le site Usbeketrica dans un article dédié au sujet.
La parano n’a désormais plus de limites
La raison ? De façon contre-intuitive, de telles combinaisons de “fausses exigences de complexité” peuvent en fait “être facilement devinées par des pirates à l’aide de logiciels spécialisés”, revenait en détail à l’époque l’agence britannique. Mais la même question demeure : est-ce suffisant pour se prémunir contre les usurpations d’identité ?, pointe le site Usbeketrica. Et la réponse reste : pas de réponse. D’autant qu’une nouvelle étude scientifique vient en effet de révèler les capacités spectaculaires de certaines intelligences artificielles, désormais capables de “ deviner “ les mots de passe.
Comment ? Tout simplement en écoutant le bruit généré par leur entrée sur un clavier. Rien que ça ! La parano n’a désormais plus de limites. Au point que certains pourraient peut-être se mettre à diffuser systématiquement des morceaux de heavy metal pour masquer le son de leurs touches après avoir lu ces lignes…ironise le site Usbeketrica. Mais dans les faits comment cette IA procède. Là est la question. Un test grandeur nature a été réalisé début août pour présenter l'IA et son fonctionnement.
"Différences identifiables pour chaque touche”
Ce test de l’IA à eu lieu le jeudi 3 août dernier après sa présentation en juillet lors du forum américain IEEE Symposium on Security and Privacy, référence internationale en matière de cybersécurité. Ce dernier s’est basé sur un modèle MacBook Pro de 16 pouces, équipé de 16 gigaoctets (Go) de mémoire et d’un processeur Apple M1 Pro. Sur cet ordinateur, trois scientifiques : Joshua Harrison, Ehsan Toreini et Maryam Mehrnezhad ont tour à tour tapé différentes combinaisons de mots de passe. En parallèle, deux dispositifs d’enregistrement sonore étaient simultanément activés : un iPhone 13 Mini placé à quelques centimètres de l’ordinateur ; et la fonction d’enregistrement du logiciel Zoom, activé directement sur le MacBook Pro, détaille le site. Dans un second temps les données ont été collectées, puis le trio de chercheurs a mis sur pied un modèle d’IA basé sur l’apprentissage profond (deep learning), capable de retranscrire les informations acoustiques enregistrées sous forme de texte.
En d’autres termes, l’algorithme a été chargé d’analyser toutes les micro-variations dans les sons produits par l’enfoncement des différentes touches. Comme le résume le média spécialisé Phonandroid, ces données ont permis en retour de déterminer les “différences identifiables pour chaque touche et d’appliquer des traitements visant à augmenter les signaux pouvant être utilisés pour l’identification des frappes”. Et les résultats ont été bluffants...
L’IA identifie en quelques secondes n’importe quelle combinaison
Les scientifiques, à la suite de l’analyse des données collectées, ont en effet récupéré des résultats dont la précision flirtait avec les 95 % pour la retranscription basée sur l’enregistrement de l’iPhone et 93 % pour la retranscription basée sur l’enregistrement de Zoom, selon les chercheurs. Une précision en mesure de déterminer en quelques secondes seulement n’importe quelle combinaison (ou presque), à condition de pouvoir enregistrer le son produit préalablement. “L’omniprésence des émanations acoustiques des claviers en fait non seulement un moyen d’attaque facilement accessible, mais aussi un moyen d’attaque très efficace”, écrivent les scientifiques.
Toutefois des failles subsistent... pour le moment
Heureusement pour nous, quelques failles subsistent malgré tout dans l’édifice, comme la touche majuscule (notée Maj ou Shift en anglais). À ce jour, l’IA serait incapable de déterminer quand un utilisateur relâche ce bouton – d’où l’importance, selon les chercheurs, de varier entre lettres minuscules et majuscules lors de la conception d’un mot de passe. De même, le fait de “jouer des sons près des microphones de l’ordinateu r ou des microphones voisins” permettrait de réduire les risques.Ouf ! Dans tous les cas, en plus de modifier votre style de saisie au clavier vous pouvez également utiliser un logiciel qui ajoute des sons aléatoires de frappe de clavier. Et tant que possible, utiliser des passkeys ou des gestionnaires de mots de passe, pour éviter de saisir vos données sensibles.
Sinon, les plus parano d'entre nous, pourront, s’ils le souhaitent : ”vérifier” que des microphones ne se situent pas à proximité au moment de saisir des informations privées. Mais, rassurez-vous “une telle technique est presque entièrement rendue obsolète par l’omniprésence moderne des microphones (…) et nécessiterait l’élimination des smartphones, des montres et des enceintes connectées, ou encore des webcams”. Ce qui ne devrait pas arriver de sitôt, pour le moment...