Grâce à la chaleur laissée par les doigts sur les touches d'un clavier, une Intelligence artificielle est capable de découvrir les mots de passe, même les plus complexes. Explications.

Cela vous intéressera aussi

[EN VIDÉO] Les 10 menaces les plus dangereuses de l'intelligence artificielle L’intelligence artificielle a permis des avancées dans le domaine de la santé, la recherche et l'industrie. Mais dans de mauvaises mains, elle peut aussi servir à des fins criminelles ou à la désinformation.

Voici une nouvelle technique qui devrait plaire aux services d’espionnage. À condition de pouvoir avoir accès à l'appareil ciblé, il est possible de deviner les mots de passemots de passe saisis sur un ordinateur, un smartphonesmartphone et surtout un distributeur de billets. Comment ? En analysant les résidus de chaleurchaleur laissés par les doigts de l'utilisateur lorsqu'il a tapé son mot de passe ou son code. Cela fonctionne avec un clavier ou bien sur un écran, et donc aussi sur les touches d'un distributeur automatique de billets de banque.

Cette drôle d'idée vient de chercheurs de l'Université de Glasgow, en Écosse. Ils ont mis au point un système baptisé ThermoSecure. Par cette expérimentation, ils cherchaient à montrer qu'avec des caméras thermiques dont les prix baissent (env. 250 euros) et des intelligences artificielles, parfois en accès libre, un hacker malin peut créer à moindres frais un système pour collecter les identifiants d'un appareil en quelques secondes. Ils ont appelé cette menace, les « attaques thermiques ».

Pour que cela fonctionne, il faut que l'utilisateur ait saisi son mot de passe ou son code un peu avant. C'est un peu étrange de déverrouiller un appareil pour ensuite le laisser, mais pourquoi pas. En revanche, c'est forcément le cas pour un distributeur automatique de billets. Il faut alors que le pirate utilise une caméra thermique pour prendre une photo du clavier ou de l'écran. Sur l'image, plus une zone apparaît de façon claire sur l'image thermique, moins cela fait de temps qu'elle a été touchée. C'est en examinant ces zones qu'il est possible de déterminer les touches, lettres ou symboles utilisés, mais aussi leur ordre de saisie. Même sur un mot de passe complexe, il ne faut alors que quelques tentatives de combinaisons pour parvenir à déchiffrer le sésame.

Le docteur Khamis montre l’image thermique d’un clavier sur lequel les doigts ont laissé des traces de chaleur. © Université de Glasgow
Le docteur Khamis montre l’image thermique d’un clavier sur lequel les doigts ont laissé des traces de chaleur. © Université de Glasgow

100 % de réussite pour des sésames de six caractères

Selon les chercheurs, même un néophyte à qui l'on aurait expliqué comment déchiffrer l'image thermique pourrait parvenir à trouver le mot de passe. Il faut toutefois que l'image ait été prise entre 30 secondes et une minute après que la surface a été touchée. Mais les chercheurs ont décidé d'aller plus loin et d'automatiser la découverte du mot de passe grâce à un algorithme d'apprentissage automatique.

Pour l'alimenter, ils ont pris 1.500 photos thermiques de claviers sous différents angles. Les claviers venaient d'être utilisés pour taper des mots de passe. C'est avec l'aide des probabilités qu'ils ont pu affiner leur modèle et parvenir à une efficacité de 86 % pour trouver des mots de passe, 20 secondes après leur saisie. Le chiffre tombe à 62 % après une minute. On peut se dire que le procédé n'est pas forcément performant, mais il faut savoir que ces chiffres correspondent à des mots de passe longs de seize caractères. Lorsqu'ils ne dépassent pas les huit caractères, le taux passe à 93 %. Avec six, l'algorithme fait mouche systématiquement. Il y a tout de même un bémol, car l'efficacité du système va également dépendre du matériaumatériau employé pour les touches d'un clavier.

Cette méthode, qui nécessite quand même de se trouver à proximité immédiate de la cible, ne devrait pas être applicable bien longtemps avec les nouveaux systèmes de protection sans mot de passe qui répondent au protocole Fido et qui viennent d'être implantés par Apple sur ses appareils récents. À l'avenir, les autres appareils devraient voir également arriver ce procédé. Reste le cas des distributeurs automatiques qui pourraient être la cible des futurs hackers-voleurs.