Harry Cohen Tanugi

Les pirates utilisent désormais des attaques thermiques pour voler des mots de passe en quelques secondes

Parmi les images prises dans les 20 secondes, le système pouvait également deviner des mots de passe longs comportant jusqu'à 16 caractères dans 67 % des cas. Plus les mots de passe étaient courts, plus la précision augmentait, atteignant 100 % pour les mots de passe de six caractères, selon le communiqué de presse.

"L'accès aux caméras thermiques est plus abordable que jamais - on peut en trouver pour moins de 200 livres sterling (225 dollars américains) - et l'apprentissage automatique devient également de plus en plus accessible", a déclaré Khamis dans le communiqué de presse. "Il est important que la recherche en sécurité informatique suive le rythme de ces évolutions pour trouver de nouvelles façons d'atténuer les risques, et nous continuerons à développer notre technologie pour essayer de garder une longueur d'avance sur les attaquants."

Que peut-on faire pour éviter cela ?

La recherche a également donné un aperçu des stratégies d'atténuation qui pourraient être adoptées pour prévenir une attaque thermique. Les chercheurs ont constaté que les utilisateurs qui tapaient plus lentement et laissaient leurs doigts sur le clavier plus longtemps étaient plus susceptibles de voir leurs mots de passe devinés avec précision que ceux qui tapaient rapidement.

De plus, le matériau utilisé pour fabriquer le clavier a également eu un impact sur la capacité du système à deviner les mots de passe. Thermosecure a pu deviner avec précision les mots de passe tapés sur des protège-clavier en plastique ABS dans environ 50 % des cas. Cependant, le taux de réussite a considérablement baissé, passant à 14 % avec les claviers en plastique PBT.

Outre le passage à des moyens d'authentification sophistiqués, tels que la reconnaissance des empreintes digitales et du visage, les utilisateurs pouvaient adopter de longues phrases de passe comme mots de passe.

Les résultats de la recherche ont été publiés dans le journal ACM Transactions on Privacy and Security.

Résumé

Les caméras thermiques peuvent révéler des traces de chaleur sur les interfaces utilisateur, comme les claviers. Ces traces peuvent être exploitées de manière malveillante pour déduire des données sensibles, telles que des mots de passe. Alors que les travaux précédents ont considéré les attaques thermiques qui reposent sur l'inspection visuelle de techniques simples de traitement d'images, nous montrons que les attaquants peuvent réaliser des attaques plus efficaces basées sur l'IA. Nous le démontrons en présentant le développement de ThermoSecure, et son évaluation dans deux études d'utilisateurs (N=21, N=16) qui révèlent de nouvelles idées sur les attaques thermiques. Nous détaillons l'implémentation de ThermoSecure et mettons à la disposition du public un jeu de données de 1500 images thermiques de claviers avec des traces de chaleur résultant de la saisie. Notre première étude montre que ThermoSecure réussit à attaquer des mots de passe à 6, 8, 12 et 16 symboles avec une précision moyenne de 92%, 80%, 71% et 55% respectivement, et une précision encore plus élevée lorsque les images thermiques sont prises dans les 30 secondes. Nous avons constaté que le comportement de frappe a un impact significatif sur la vulnérabilité aux attaques thermiques, les dactylographes à la hâte étant plus vulnérables que les dactylographes rapides (92 % contre 83 % de réussite des attaques thermiques si elles sont effectuées dans les 30 secondes). La deuxième étude a montré que le matériau des touches a un effet statistiquement significatif sur l'efficacité des attaques thermiques : Les keycaps en ABS conservent la trace thermique des pressions des utilisateurs pendant une période plus longue, ce qui les rend plus vulnérables aux attaques thermiques, avec une précision d'attaque moyenne de 52% contre 14% pour les claviers avec keycaps en PBT. Enfin, nous discutons de la manière dont les systèmes peuvent tirer parti de nos résultats pour se protéger des attaques thermiques, et nous présentons 7 approches d'atténuation basées sur nos résultats et sur des travaux antérieurs.

[SOURCE]

menu