« Les capteurs de mouvement intégrés dans les smartphones pourraient offrir aux attaquants un moyen d'inférer les codes PIN de sécurité, ont découvert des chercheurs de l'Université de Newcastle. »
Les smartphones d'aujourd'hui sont équipés de ces capteurs, qui vont des plus connus comme le GPS, la caméra, le microphone et les lecteurs d'empreintes digitales, mais incluent également des accéléromètres, des gyroscopes, des capteurs de lumière ambiante, des magnétomètres, des capteurs de proximité, des baromètres, des thermomètres et des capteurs d'humidité de l'air – pour n'en nommer que quelques-uns parmi les 25 estimés dans les modèles les mieux équipés.
C'est beaucoup de données pour qu'une application malveillante ou un site web malintentionné puisse cibler, dont une grande partie n'est pas couverte par un système de permissions ou de notifications cohérent.
L'étude de l'Université de Newcastle s'est concentrée sur les capteurs qui enregistrent l'orientation, le mouvement et la rotation d'un appareil, que l'équipe a théorisé pouvoir être utilisés pour révéler des actions tactiles spécifiques.
La méthodologie impliquait 10 utilisateurs de smartphones saisissant 50 codes PIN à quatre chiffres cinq fois chacun sur une page web, ce qui a fourni des données pour entraîner le réseau de neurones utilisé pour deviner les codes PIN.
Dans l'événement, le réseau a deviné le bon code PIN dès sa première tentative dans 70 % des cas, ce qui est impressionnant. À la cinquième tentative, le taux de réussite a atteint 100 %.
Pour comparaison, l'équipe estime qu'une supposition aléatoire d'un code PIN à quatre chiffres (parmi 10 000 possibilités) aurait une probabilité d'être correcte seulement 2 % du temps lors de la première occasion et 6 % du temps lors de la troisième supposition.
C'est un taux de devinette impressionnant - les utilisateurs de smartphones devraient-ils s'inquiéter ?
À court terme, pas vraiment. Former le réseau de neurones pour atteindre ce niveau de précision a nécessité une grande quantité de données d'entraînement – 250 PIN par utilisateur ciblé – sur lesquelles fonder ses inférences concernant les touches que les individus avaient pressées.
La collecte de chacun de ces PIN ne pouvait être réalisée que dans des conditions spécifiques, par exemple si un attaquant exécutait une application malveillante ou avait attiré l'utilisateur vers un site web exécutant du code JavaScript malveillant dans un onglet qui restait ouvert pendant qu'il saisissait un PIN sur un autre site.
Dans des conditions réelles, cela serait assez difficile à réaliser. Quoi qu'il en soit, l'équipe souligne qu'un quart des utilisateurs de smartphones choisissent des codes PIN parmi un ensemble prévisible de 20 séquences courantes telles que 1234, 0000 ou 1000, donc la devinette avancée de PIN pourrait être excessive.
Ce que l'étude nous dit, c'est que la façon dont une personne tient, clique, fait défiler et tapote sur un smartphone génère des données qui ne sont pas aussi indéchiffrables ou aléatoires que les gens le pensent probablement.
L'auteur principal de l'étude, Dr Maryam Mehrnezhad, a déclaré : "Nous aspirons tous au dernier téléphone avec les dernières fonctionnalités et une meilleure expérience utilisateur, mais comme il n'existe pas de méthode uniforme pour gérer les capteurs dans l'industrie, ils représentent une véritable menace pour notre sécurité personnelle."
Une solution serait d'étendre les autorisations des capteurs afin que les utilisateurs puissent voir quand un site ou une application malveillante y accède. Mais il y en a maintenant tant à l'intérieur des smartphones que cela pourrait entraîner une surcharge de notifications.
Les autres suggestions de l'équipe – changer régulièrement les codes PIN, vérifier les autorisations des applications avant l'installation, fermer les onglets et applications en arrière-plan – sont judicieuses mais peu susceptibles d'avoir un grand impact sur l'utilisateur moyen de smartphone si l'on se fie à l'historique des conseils en matière de sécurité.
"Alternativement, les gens pourraient simplement utiliser des PIN plus longs ou, mieux encore, l'industrie pourrait les abandonner complètement (comme cela se fait ailleurs) au profit de meilleures options de sécurité. Les utilisateurs aiment les PIN, mais comme le dit la blague, leur temps est sûrement compté."
Source : John E Dunn, nakedsecurity.sophos.com