"Les capteurs de mouvement intégrés aux smartphones pourraient offrir aux attaquants un moyen de déduire des codes PIN de sécurité, ont découvert des chercheurs de l'Université de Newcastle.
Les smartphones d'aujourd'hui sont équipés de ces capteurs, qui vont des plus connus tels que le GPS, l'appareil photo, le microphone et les lecteurs d'empreintes digitales, mais comprennent également des accéléromètres, des gyroscopes, des capteurs de lumière ambiante, des magnétomètres, des capteurs de proximité, des baromètres, des thermomètres et des capteurs d'humidité de l'air. – pour ne citer que quelques-uns des 25 estimés parmi les modèles les mieux équipés.
Cela représente beaucoup de données à cibler par une application malveillante ou un site Web malveillant, dont une grande partie n’est couverte par aucun système d’autorisations ou de notifications cohérent.
L’étude de l’Université de Newcastle s’est concentrée sur les capteurs qui enregistrent l’orientation, le mouvement et la rotation d’un appareil et qui, selon l’équipe, pourraient être utilisés pour révéler des actions tactiles spécifiques.
La méthodologie impliquait que 10 utilisateurs de smartphones saisissent cinq fois chacun 50 codes PIN de test à quatre chiffres sur une page Web, ce qui fournissait des données pour entraîner le réseau neuronal utilisé pour deviner les codes PIN.
En l’occurrence, le réseau a deviné le bon code PIN dès son premier essai dans 70 % des cas. À la cinquième hypothèse, le taux de réussite atteignait 100 %.
À titre de comparaison, l'équipe estime qu'une estimation aléatoire d'un code PIN à quatre chiffres (sur 10 000 possibilités) aurait une probabilité d'avoir raison seulement 2 % du temps la première fois et 6 % du temps en devinant trois.
C’est un taux de supposition impressionnant – les utilisateurs de smartphones devraient-ils donc s’inquiéter ?
À court terme, pas vraiment. Entraîner le réseau neuronal pour atteindre ce niveau de précision nécessitait une grande quantité de données d’entraînement – 250 codes PIN par utilisateur ciblé – sur lesquelles baser ses déductions sur les clés que les individus avaient touchées.
La collecte de chacun de ces codes PIN ne pouvait être obtenue que dans des conditions spécifiques, par exemple si un attaquant exécutait une application malveillante ou avait attiré l'utilisateur vers un site Web exécutant du code JavaScript malveillant dans un onglet qui restait ouvert pendant qu'il saisissait un code PIN sur un autre site.
Dans des conditions réelles, cela serait assez difficile à réaliser. Dans tous les cas, souligne l'équipe, jusqu'à un quart des utilisateurs de smartphones choisissent des codes PIN parmi un ensemble prévisible de 20 séquences courantes telles que 1234, 0000 ou 1000, de sorte qu'une estimation neuronale avancée du code PIN pourrait s'avérer excessive.
Ce que l’étude nous dit, c’est que la façon dont quelqu’un tient, clique, fait défiler et appuie sur un smartphone génère des données qui ne sont pas aussi indéchiffrables ou aléatoires que les gens le pensent probablement.
L'auteur principal de l'étude, le Dr Maryam Mehrnezhad, a déclaré : « Nous réclamons tous le dernier téléphone doté des dernières fonctionnalités et d'une meilleure expérience utilisateur, mais comme il n'existe pas de manière uniforme de gérer les capteurs dans l'industrie, ils constituent une menace réelle pour notre sécurité personnelle. "
Une solution consisterait à étendre les autorisations des capteurs afin que les utilisateurs puissent voir quand un site ou une application malveillante y accède. Mais il y en a désormais tellement dans les smartphones que cela pourrait entraîner une surcharge de notifications.
Les autres suggestions de l’équipe – modifier régulièrement les codes PIN, vérifier les autorisations des applications avant l’installation, fermer les onglets et les applications en arrière-plan – sont judicieuses mais ne risquent pas de faire grande impression sur l’utilisateur moyen de smartphone si l’on en croit l’historique des conseils de sécurité.
Alternativement, les gens pourraient simplement utiliser des codes PIN plus longs ou, mieux encore, l’industrie pourrait les abandonner complètement (comme cela se fait ailleurs) au profit de meilleures options de sécurité. Les utilisateurs aiment les codes PIN, mais comme le dit la punchline, leurs jours sont sûrement comptés. »
Source : John E Dunn, Nakedsecurity.sophos.com