Nous avions déjà mentionné dans ce blog les travaux de l’université de Copenhague sur le « deep spying » : l’espionnage faisant appel à des techniques de « Deep Learning » (apprentissage machine fondé sur l’analyse de modèles de données). En l’occurrence, les chercheurs avaient réussi à montrer que l’on pouvait exploiter les mouvements d’une montre connectée pour reconnaître et reconstituer la totalité des informations tapées par l’utilisateur. Vous pouvez retrouver cet article ici
Une nouvelle étape vient d’être franchie, avec en première ligne des chercheurs de l’université de Newcastle (ci-dessous), et cette fois-ci, la technique se fonde sur l’utilisation de votre smartphone.
Tout d’abord, il faut bien réaliser qu’un smartphone, c’est entre 18 et 25 capteurs différents – et je parle là de la majorité des smartphones du marché : gyroscopes, détection des chocs, accéléromètre, détection du vecteur de rotation, orientation, odomètre, infrarouge, champ magnétique, etc… Vous seriez surpris.
Lorsque vous le tenez en main et que vous tapez un code d’accès, par exemple, ces capteurs réagissent en créant une véritable « signature ». Bien évidemment, celle-ci dépend de votre attitude, de votre activité, de votre environnement. Mais en l’observant dans différentes conditions, il est possible « d’apprendre » votre profil. Et pour exploiter cette technique, l’attaque imaginée par l’équipe de Maryam Mehrnezhad (ci-dessous) repose sur une faille : une absence de spécifications W3C (le consortium World Wide Web) affectant la majorité des navigateurs internet.
La faille repose sur le fait que la spécification W3C actuelle permet à un code javascript inclus dans une page web d’accéder aux informations de la majorité des capteurs présents dans votre smartphone, à l’exclusion de la caméra et du GPS, et ce sans la permission expresse de l’utilisateur. Cela fonctionne via une page de navigation, ou un onglet ouvert dans un navigateur (même inactif), et même si le smartphone est verrouillé. Voici la liste ci-dessous des navigateurs affectés par cette vulnérabilité, sous Android et iOS.
L’attaque imaginée par les chercheurs s’appelle TouchSignatures. Les chercheurs ont constitué une base de 10 utilisateurs auxquels on a demandé d’entrer un code PIN de 4 chiffres, 5 fois de suite, sur un site Internet. Ce site alimentait un réseau de neurones qui a appris à reconnaître les interactions de l’utilisateur avec le smartphone. La video ci-après montre les capteurs à l’écoute des mouvements de l’utilisateur.
C’est un peu comme reconstituer un puzzle : distinguer les mouvements de l’utilisateur quand il tient son smartphone en main, avec quels doigts, quelle inclinaison,… et repérer les invariants (on tape généralement en tenant toujours son smartphone de la même façon, avec une orientation donnée, avec les mêmes doigts, etc…).
Touch Signatures a rapidement appris à distinguer entre les mouvements « normaux » du téléphone pris en main, et les patterns caractéristiques d’un code PIN. Il a ainsi pu identifier 70% des codes PIN des utilisateurs sous Android, et 56% sous iOS. Mais le système apprenant constamment, au 5e essai il était capable d’identifier et de cracker un code PIN avec 100% de succès ( !).
Pourquoi cette faille a-t’elle été ignorée par la communauté ? Parce que le code javascript ne pouvait accéder qu’à un flux d’informations provenant des senseurs à faible débit, ce qui était perçu comme un risque faible de sécurité (« si ce n’est pas une caméra, ce n’est pas un problème »).
Ces nouveaux travaux montrent que même à faible débit, il est possible de capturer des informations permettant d’accéder aux identifiants de l’utilisateurs sans que celui-ci ne s’en aperçoive. Des résultats qui ont au moins alerté les développeurs des navigateurs, qui planchent aujourd’hui tous sur des parades, avec plus ou moins de vigueur. En attendant, la meilleure solution (pour les smartphones qui possèdent cette fonction) c’est d’utiliser la reconnaissance de l’empreinte digitale, en espérant que celle-ci ne puisse être capturée à l’avenir… ce qui serait plus préoccupant.
VMF 214 - le blog 