Developpez.com

Une très vaste base de connaissances en informatique avec
plus de 100 FAQ et 10 000 réponses à vos questions

Exploiter la chaleur des doigts pour révéler le code de verrouillage de votre smartphone
Des chercheurs y sont parvenus

Le , par Patrick Ruiz, Rédacteur
L’usage de codes PIN ou l’utilisation d’un schéma, voilà les méthodes actuelles offertes par la plupart des constructeurs de smartphones à leurs clients. Une équipe de recherche en informatique de l'université de Stuttgart révèle à ce propos que, chaque fois que l’on procède à l’une de ces opérations, une trace de chaleur reste sur l’écran. Elle nous explique comment l’utilisation d’une caméra thermique peut permettre de faire sauter le verrou, donnant à un tiers l’accès à la vie privée du possesseur de l’appareil. Elle propose enfin des solutions à ce qu’elle a baptisé « attaque thermique ».

D’abord, quelques chiffres

L’équipe de chercheurs révèle qu’un tiers muni du procédé d’attaque thermique mis au point pourrait, dans les 30 secondes suivant l’introduction du verrou par l’utilisateur, le révéler avec succès dans 72 à 100 % des cas.

Aperçu du procédé

Pour y parvenir, le hacker devrait se munir d’une caméra thermique. Son usage lui permettrait alors de collecter les traces de chaleur sur l’afficheur et d’en faire une image thermique, laquelle serait alors passée à un analyseur thermique logiciel pour convertir les données en niveaux de gris avec réduction du bruit (confer image ci-dessous). L’isolation des points chauds dans l’image permettrait alors de révéler le verrou, qu’il soit un code PIN ou un schéma.


Perspectives

Les chercheurs affirment que les résultats obtenus dépendent énormément de la sensibilité de la caméra thermique. Une caméra thermique de meilleure sensibilité que celle utilisée dans le cadre de l’expérience permettrait de faire passer l'intervalle de temps dans lequel il sera encore possible de révéler le code à 60 secondes. Ils entrevoient également la généralisation de ce concept à tous les appareils munis d’écrans tactiles avec en plus la mise en œuvre logicielle des réseaux de neurones pour booster l’analyseur thermique en robustesse.

Recommandations de l’équipe de recherche

  • Faire usage de codes PIN plus longs a pour effet de réduire de façon importante l’efficacité d'une attaque thermique.
  • Privilégier des outils permettant de combiner les modes de verrou (PIN et schémas).
  • Recouvrir l’afficheur avec toute la main pendant la saisie du code PIN, ce qui aura pour effet de générer une série de traces difficilement exploitables.
  • Augmenter la luminosité de l’écran, ce qui a pour effet d’augmenter la température de ce dernier et par ricochet de réduire l’efficacité de l’attaque thermique.


Source : Publication de la recherche

Et vous ?

Qu'en pensez-vous ? Avez-vous déjà commencé à appliquer les recommandations de l'équipe de chercheurs ?

Voir aussi :

Android : les gestionnaires de mots de passe les plus populaires présentent des vulnérabilités critiques, selon les chercheurs en sécurité de TeamSIK


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de shenron666 shenron666 - Expert confirmé https://www.developpez.com
le 14/03/2017 à 10:52
Super... Sachant qu'une caméra thermique coûte plusieurs milliers d'euros je ne suis pas trop inquiet quant à la potentielle généralisation de cet exploit.
Avatar de GrandDI GrandDI - Membre averti https://www.developpez.com
le 14/03/2017 à 11:01
Je trouve cette petite news hyper sympa ! Un grand merci Patrick Ruiz.

Ensuite, je pense que pour l'instant on a pas trop de raison de s'inquiéter, déjà avec le prix des caméras et ensuite avec le temps que la chaleur reste sur l'écran.

Mais je pense à une chose, est ce que cela peut donc malheureusement s'appliquer aux distributeurs de banque ?
Avatar de Capitaine_aizen Capitaine_aizen - Membre du Club https://www.developpez.com
le 14/03/2017 à 11:04
[Joke=on] Certains ont joué à Splinter Cell 1er du nom [Joke=off]
Avatar de solstyce39 solstyce39 - Membre régulier https://www.developpez.com
le 14/03/2017 à 11:07
Bonjour,

Et sinon, plus simplement, combien d'entre vous on déjà déduit le code de déverrouillage d'un téléphone juste avec les traces de gras sur l'écran du smartphone ?

Pour le coup cela est moins chère et peux s'avérer efficace
Avatar de Capitaine_aizen Capitaine_aizen - Membre du Club https://www.developpez.com
le 14/03/2017 à 11:12
Citation Envoyé par GrandDI Voir le message
Mais je pense à une chose, est ce que cela peut donc malheureusement s'appliquer aux distributeurs de banque ?
Bonne question. Déjà il faudrait savoir si la machine ne dégage pas trop de chaleur par elle-même au point de rendre l'analyse des données plus compliquées (sorte de brouillage thermique). Ensuite, pour que ce soit critique, il faudrait arriver juste après la personne avec une caméra thermique (genre une Lepton, pour info, ça coute dans les environs de 300 €, c'est petit et ça marche bien), avoir sur soit l'électronique necessaire au traitement (raspberry pi + alim). Après faut être discret car les ATMs ont généralement une caméra pour filmer qui fait quoi au distributeur. Et la dernière hypothèse que les conditions environnementales soient favorables. Pour un distributeur dans une galerie marchande, ok. Mais dans une gare, un aéroport ou autres endroit exposé à des mouvements de masse d'air, l'énergie thermique déposé sur les touches va vite se dissiper au point de rendre l'analyse erronée voir impossible.
Avatar de GrandDI GrandDI - Membre averti https://www.developpez.com
le 14/03/2017 à 11:33
Citation Envoyé par Capitaine_aizen Voir le message
Bonne question. Déjà il faudrait savoir si la machine ne dégage pas trop de chaleur par elle-même au point de rendre l'analyse des données plus compliquées (sorte de brouillage thermique). Ensuite, pour que ce soit critique, il faudrait arriver juste après la personne avec une caméra thermique (genre une Lepton, pour info, ça coute dans les environs de 300 €, c'est petit et ça marche bien), avoir sur soit l'électronique necessaire au traitement (raspberry pi + alim). Après faut être discret car les ATMs ont généralement une caméra pour filmer qui fait quoi au distributeur. Et la dernière hypothèse que les conditions environnementales soient favorables. Pour un distributeur dans une galerie marchande, ok. Mais dans une gare, un aéroport ou autres endroit exposé à des mouvements de masse d'air, l'énergie thermique déposé sur les touches va vite se dissiper au point de rendre l'analyse erronée voir impossible.

Bien répondu, c'est déjà beaucoup plus clair, et plus rassurant.
Avatar de NSKis NSKis - Membre émérite https://www.developpez.com
le 14/03/2017 à 11:47
Ou comment utiliser un canon pour abattre un moustique!!!
Avatar de Matrix101 Matrix101 - Futur Membre du Club https://www.developpez.com
le 14/03/2017 à 11:49
Il suffit d'utiliser un code PIN avec l'option "Randomize PIN entry" qui mélange à chaque fois les chiffres.
Ca règle le problème, et aussi (plus utile) la question des traces de doigts.
Avatar de GrandDI GrandDI - Membre averti https://www.developpez.com
le 14/03/2017 à 11:59
Citation Envoyé par Matrix101 Voir le message
Il suffit d'utiliser un code PIN avec l'option "Randomize PIN entry" qui mélange à chaque fois les chiffres.
Ca règle le problème, et aussi (plus utile) la question des traces de doigts.
Disponible sur tous les smartphones ? Car je connaissais pas
Avatar de pierre-y pierre-y - Membre averti https://www.developpez.com
le 14/03/2017 à 12:35
Citation Envoyé par Matrix101 Voir le message
Il suffit d'utiliser un code PIN avec l'option "Randomize PIN entry" qui mélange à chaque fois les chiffres.
Je ne comprend pas, vous voulez dire un système qui chaque matin donne un nouveau code pour la journée?
Offres d'emploi IT
Spécialiste systèmes informatiques qualité et référent procédure H/F
Safran - Ile de France - Colombes (92700)
Ingénieur intégration, validation, qualification du système de drone H/F
Safran - Ile de France - Éragny (95610)
Responsable transverse - engagement métiers H/F
Safran - Ile de France - Corbeil-Essonnes (91100)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil