You are currently viewing Les images thermiques pour dérober les mots de passe
Unsplash - Towfiqu Barbhuiya

Lors de cyberattaques, les hackeurs peuvent souvent pénétrer dans un système à cause d’une erreur humaine. Ainsi, par exemple, pour un hameçonnage, l’attaquant peut intégrer le système lorsqu’une personne clique sur un lien frauduleux dans un mail.

Toutefois, une nouvelle méthode d’attaque serait possible sans que personne ne commette de faute, mais uniquement du fait du corps. C’est ce qu’a révélé une étude menée par des chercheurs de l’Université de Glasgow en Angleterre, publiée le 26 septembre 2022. Cette recherche met en lumière la possibilité pour des hackeurs de récupérer des mots de passe à l’aide d’imageries thermiques.

Pour cela, l’équipe de chercheurs a créé un système baptisé Thermosecure. L’objectif de l’expérience est de démontrer qu’avec des caméras thermiques très accessibles, puisque facilement trouvable sur Internet et avec un prix très abordable (environ 250 euros), couplé à des intelligences artificielles, souvent libre d’accès, un attaquant peut identifier un mot de passe et pénétrer dans un système.
Les chercheurs ont appelé ce type d’attaque, les « attaques thermiques ».

Les résultats probants de Thermosecure

Le fonctionnement de Thermosecure est relativement simple. Lorsque nous utilisons certaines touches de notre clavier, les images de la caméra thermique mettront en avant des zones plus lumineuses qui représentent la chaleur laissée par nos doigts après notre passage notamment lorsque l’on tape notre mot de passe. Ensuite, l’intelligence artificielle se chargera de tenter toutes les combinaisons possibles à partir des touches relevées par la caméra thermique.

Les résultats de cette étude sont édifiants. En effet, les caméras thermiques permettraient de déchiffrer les mots de passe jusqu’à une minute après avoir été tapés. Ainsi, 86% des mots de passe ont été déchiffrés quand les images ont été capturées dans les 20 secondes qui suivent la saisie du mot de passe. Ce chiffre passe ensuite à 76% lorsque les images sont prises 30 secondes après la saisie, puis tombe à 62% lorsque les images sont capturées 60 secondes suivant l’entrée du mot de passe.

La recherche ne s’arrête pas là puisque les chercheurs ont tenté de complexifier l’expérimentation avec des mots de passe plus sophistiqués. Avec un mot de passe de 16 caractères, le système est capable de détecter le mot de passe à 67% lorsque les images sont prises dans les 20 secondes qui suivent la saisie du mot de passe.

A l’inverse, lorsque les mots de passe sont plus courts, le taux de réussite augmente. De fait, si les mots de passe de douze symboles ont été déchiffrés dans 82% des cas, on passe à 93% lorsque le mot de passe n’a que 8 symboles. Le taux de 100% de réussite a par ailleurs été atteint pour les mots de passe à 6 symboles.

Cela met à nouveau le doigt sur l’importance de l’utilisation de mots de passe longs et complexes. En effet, même sans l’aide de caméras thermiques, il est toujours recommandé d’utiliser des mots de passe dit forts avec un nombre de caractère important et avec une combinaison élaborée.

Des expériences antérieures déjà révélatrices

Ce type de recherche n’est pas novatrice en soi. En effet, des chercheurs antérieurs ont déjà démontré que des humains pouvaient deviner un mot de passe en analysant des images thermiques. C’est en 2011, à l’Université de San Diego que la première expérimentation en la matière a été menée sur des distributeurs pour récupérer des codes de cartes bancaires. Lors de cette expérience, il y avait 50% de chances de récupérer le code secret si l’analyse était réalisée dans les 30 secondes suivant sa saisie.
En 2017, une étude similaire a été menée pour tenter de collecter les mots de passe de smartphones: 78% des codes ont pu être trouvés quand l’image était capturée 30 secondes après le passage des doigts sur l’appareil.

Néanmoins, l’apport de Thermosecure réside dans l’utilisation de l’intelligence artificielle pour détecter les mots de passe. Selon les chercheurs, ce n’est qu’ainsi que l’on peut réellement mesurer la menace que représente ce type d’attaque.

Des facteurs peuvent accroître le risque des attaques thermiques

Certains facteurs peuvent augmenter le risque face à ce type d’attaque. En effet, les utilisateurs les moins familiers aux ordinateurs laissent généralement leurs doigts sur les touches plus longtemps, créant ainsi une signature thermique qui dure elle aussi plus longtemps que celle d’un utilisateur aguerri en la matière.

La dextérité sur un clavier n’est pas la seule chose qui rentre en compte, le type de clavier a lui aussi son importance. Le matériau dans lequel est fabriqué le clavier peut jouer un rôle dans la détection de signature thermique. En effet, certains plastiques sont plus susceptibles de conserver la chaleur des doigts que d’autres.

Le docteur Mohamed Kamis, qui est à la tête du développement de Thermosecure, a également précisé que : « Les claviers rétroéclairés produisent également plus de chaleur, ce qui rend les lectures thermiques précises plus difficiles, de sorte qu’un clavier rétroéclairé avec des plastiques PBT pourrait être intrinsèquement plus sûr ».

Il souligne également que : « les utilisateurs peuvent aider à rendre leurs appareils et leurs claviers plus sûrs en adoptant des méthodes d’authentification alternatives, comme les empreintes digitales ou la reconnaissance faciale, qui atténuent de nombreux risques d’attaque thermique. ».

Les attaques thermiques : une réelle menace ?

Le Dr Khamis déclare : « Nous avons développé ThermoSecure en réfléchissant soigneusement à la manière dont des acteurs malveillants pourraient exploiter les images thermiques pour pénétrer dans les ordinateurs et les smartphones. ». Ainsi, selon lui la menace est réelle et ne pourrait cesser de croître.

Le fait que les caméras thermiques peuvent être trouvées facilement en ligne et à moindre coût contribue l’accroissement de l’inquiétude face à ce type d’attaque. Il faudra par exemple compter environ 250 euros pour obtenir une caméra thermique capable de capturer les signatures thermiques laissées par nos doigts lorsque l’on pianote sur nos claviers. L’inquiétude est décuplée car l’intelligence artificielle est, elle aussi, devenue largement accessible. En effet, selon le Dr Khamis, de fait de cette nouvelle accessibilité, il est « très probable que les gens du monde entier développent des systèmes similaires à ThermoSecure afin de voler des mots de passe ».

Toutefois, pour certains le risque de ce type d’attaque n’est pas vraiment réaliste pour des ordinateurs d’entreprises car elle nécessite que l’attaquant soit à proximité pour capturer les images. Cependant, ce genre d’attaque ne devrait pas être pris à la légère. D’une part, il n’est pas exclu qu’une entreprise compte parmi ses salariés des personnes malveillantes, et d’autre part l’attaque grâce à imagerie thermique pourrait se révéler comme un réel danger pour les distributeurs automatiques de billets. En effet, comme l’a révélé la première étude sur le sujet, ce type de distributeurs était déjà vulnérable avec l’imagerie thermique et l’intelligence humaine. La menace est donc accrue lorsque l’imagerie est couplée à l’intelligence artificielle.

Sources:

https://www.numerama.com/cyberguerre/1176886-les-images-thermiques-sont-un-bon-moyen-de-derober-un-mot-de-passe.html

https://www.futura-sciences.com/tech/actualites/technologie-chaleur-comme-nouvelle-arme-pirates-decouvrir-vos-mots-passe-101251/

https://securite.developpez.com/actu/337514/Une-etude-met-en-garde-contre-l-utilisation-des-cameras-thermiques-et-de-l-IA-pour-pirater-les-mots-de-passe-a-travers-ces-cameras-les-voleurs-de-mots-de-passe-pourraient-etre-sur-vos-traces/

https://www.nouvelles-du-monde.com/explique-comment-la-chaleur-du-bout-des-doigts-peut-etre-utilisee-pour-dechiffrer-les-mots-de-passe/

https://dl.acm.org/doi/pdf/10.1145/3563693