L'Epoc+ est un casque de détection de l'onde du cerveau, qui est commercialisé à 800 $ l’unité. Il est présenté comme étant capable de détecter des états émotionnels tels que la frustration ou l'excitation et vous permet de contrôler les robots avec vos pensées.Selon le MIT Technology Review, Nitesh Saxena, professeur agrégé à l'Université d'Alabama à Birmingham, a montré qu'il peut également aider les logiciels à deviner les mots de passe et les codes PIN en surveillant les ondes cérébrales d'une personne.
Conçu par Emotiv, l'Epoc + fait partie d'une poignée d'appareils sur le marché qui utilisent un casque avec des électrodes pour détecter les changements de tension dans la couche externe du cerveau, une approche connue sous le nom d'électroencéphalographie ou EEG. Le dispositif traduit alors les signaux EEG en commande pour des gadgets ou des systèmes.
L’Epoc + est utilisé dans la recherche et la médecine pour des tâches telles que donner des directions à des robots ou établir un diagnostic d’une commotion cérébrale, et est vendu aux consommateurs en tant que contrôleurs de jeux.
Bien sûr, la revue rappelle que les signaux EEG ne peuvent pas être utilisés pour simplement lire ce que la personne pense ou fait, mais les expériences de l'Université de l'Alabama apportent des éléments de preuves sur le fait qu’ils peuvent encore soutirer des informations privées.
Cette nouvelle étude avait pour ambition de tester l'idée selon laquelle une personne qui a arrêté une session de jeu et s’est connectée à un compte bancaire tout en portant un casque EEG pourrait être menacée par un logiciel espion, ce dernier récupérant ses informations d'identification personnelles via des ondes cérébrales.
Aussi, pour les besoins de l’étude, les chercheurs ont demandé aux participants de commencer par saisir des codes PIN et des mots de passe aléatoires tout en portant le casque afin de permettre aux logiciels d'apprendre le lien entre leur typage et les ondes cérébrales. Saxena a indiqué que cette étape de formation pourrait être réalisée dans le monde réel par un jeu qui demande aux utilisateurs d'entrer du texte ou des codes dans le cadre de l’évolution de l’histoire, par exemple.
Après avoir « observé » un participant entrer environ 200 caractères, les algorithmes pourraient faire des suppositions sur les nouveaux caractères qu'une personne a entrés juste en regardant les données EEG. Cela pourrait par exemple permettre à un jeu malveillant d’espionner quelqu’un qui prendrait une pause pour aller sur le Web.
La revue reconnaît que le système est loin d'être parfait, cependant, il permet de réduire la probabilité de deviner un code PIN à quatre chiffres de 1 sur 10 000 à 1 sur 20, et augmente les chances de deviner un mot de passe de six lettres d'environ 1 sur 500 000 à environ 1 sur 500.
Lorsque des questions sur l'étude lui ont été posées, un porte-parole d'Emotiv a déclaré qu'une telle attaque ne serait pas pratique. Les utilisateurs risqueraient d’être suspicieux si un programme essayait de les conduire à une série d’exercices nécessaires pour que les logiciels puissent deviner les caractères qu'ils entrent. Même si Alejandro Hernández, un chercheur en sécurité pour le compte d’IOActive, qui a examiné la sécurité du matériel EEG et des logiciels connexes, considère l'attaque de l'Alabama comme étant « 100 % réalisable ». Ses recherches ont indiqué que beaucoup de logiciels EEG utilisés aujourd'hui ne sont pas bien conçus, et qu’ils peuvent donc être facilement piratés.
D’ailleurs, pour Saxena, il est urgent de penser à sécuriser les dispositifs : « Je dirais que c'est un risque pour les appareils d'aujourd'hui, et avec des dispositifs plus avancés, beaucoup d'autres choses pourraient être réalisées à l'avenir. » « Les gens doivent réfléchir aux modèles de confidentialité et de sécurité de ces interfaces », a-t-il continué.
Des chercheurs de l'Université de Washington ont déjà tenté de démontrer que les jeux avec des images subliminales peuvent modifier les ondes cérébrales d'un individu et, combinés à une EEG, peuvent servir à lancer des campagnes de phishing.
Source : MIT Technology Review
Envoyé par seikida
