Des chercheurs américains ont réussi à récupérer le code PIN entré sur le clavier d'un smartphone en espionnant les mouvements des yeux. Les taux de réussite sont surprenants.


au sommaire


    Bon nombre des techniques de piratage des smartphones exposées ces dernières années s'appuient sur l'accès aux capteurscapteurs des appareils, notamment aux accéléromètres, aux microphones et aux caméras. On sait aussi que les lecteurs d’empreintes digitales de même que les systèmes de reconnaissance faciale ne sont pas invulnérables. Des chercheurs ont également démontré qu'il est techniquement possible de dérober le code PIN d'un téléphone mobile sans avoir à s'infiltrer d'aucune manière dans le smartphone.

    EyeTell, c'est le nom donné à l'attaque développée par une équipe des universités de l'Arizona et du Delaware (États-Unis), est en effet capable de déduire le code PIN qu'une personne tape sur le clavier virtuel de son smartphone simplement en filmant ses yeuxyeux. Pour cela, il suffit de filmer le visage d'un utilisateur au moment où il tape son code secret ou dessine son schéma de déverrouillage. Ensuite, la vidéo est analysée par des algorithmes qui parviennent à déduire les mouvementsmouvements des doigts à partir de ceux des yeux.

    L'efficacité de EyeTell augmente avec la complexité du code

    Des essais ont été menés avec une vingtaine de personnes sur des smartphones AndroidAndroid et des iPhone. La probabilité que EyeTell découvre un code PIN à quatre ou six chiffres du premier coup est de 39 %. Pour un schéma de déverrouillage, la moyenne est de 57,5 %. Et les pourcentages augmentent sensiblement si l'on demande au système de proposer cinq codes PIN ou cinq schémas potentiels avec une moyenne de 65 à 70 %. EyeTell est aussi assez efficace avec les codes secrets alphanumériques, avec une moyenne de 48 % sur cinq codes proposés. Autre conclusion de l'étude : le taux de réussite de EyeTell augmente avec la complexité du schéma ou du code PIN, l'algorithme ayant moins de probabilités à prendre en compte.

    Aussi redoutable qu'elle puisse paraître, l'attaque EyeTell n'en reste pas moins délicate à mettre en œuvre. En effet, l'enregistrement vidéo doit se faire à une courte distance de la cible, sous un angle assez précis et avec de bonnes conditions lumineuses. Pour se prémunir, deux solutions : porter des lunettes de soleilsoleil ou apprendre à taper son code sans regarder l'écran...