Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Exploiter la chaleur des doigts pour révéler le code de verrouillage de votre smartphone
Des chercheurs y sont parvenus

Le , par Patrick Ruiz

0PARTAGES

11  0 
L’usage de codes PIN ou l’utilisation d’un schéma, voilà les méthodes actuelles offertes par la plupart des constructeurs de smartphones à leurs clients. Une équipe de recherche en informatique de l'université de Stuttgart révèle à ce propos que, chaque fois que l’on procède à l’une de ces opérations, une trace de chaleur reste sur l’écran. Elle nous explique comment l’utilisation d’une caméra thermique peut permettre de faire sauter le verrou, donnant à un tiers l’accès à la vie privée du possesseur de l’appareil. Elle propose enfin des solutions à ce qu’elle a baptisé « attaque thermique ».

D’abord, quelques chiffres

L’équipe de chercheurs révèle qu’un tiers muni du procédé d’attaque thermique mis au point pourrait, dans les 30 secondes suivant l’introduction du verrou par l’utilisateur, le révéler avec succès dans 72 à 100 % des cas.

Aperçu du procédé

Pour y parvenir, le hacker devrait se munir d’une caméra thermique. Son usage lui permettrait alors de collecter les traces de chaleur sur l’afficheur et d’en faire une image thermique, laquelle serait alors passée à un analyseur thermique logiciel pour convertir les données en niveaux de gris avec réduction du bruit (confer image ci-dessous). L’isolation des points chauds dans l’image permettrait alors de révéler le verrou, qu’il soit un code PIN ou un schéma.


Perspectives

Les chercheurs affirment que les résultats obtenus dépendent énormément de la sensibilité de la caméra thermique. Une caméra thermique de meilleure sensibilité que celle utilisée dans le cadre de l’expérience permettrait de faire passer l'intervalle de temps dans lequel il sera encore possible de révéler le code à 60 secondes. Ils entrevoient également la généralisation de ce concept à tous les appareils munis d’écrans tactiles avec en plus la mise en œuvre logicielle des réseaux de neurones pour booster l’analyseur thermique en robustesse.

Recommandations de l’équipe de recherche

  • Faire usage de codes PIN plus longs a pour effet de réduire de façon importante l’efficacité d'une attaque thermique.
  • Privilégier des outils permettant de combiner les modes de verrou (PIN et schémas).
  • Recouvrir l’afficheur avec toute la main pendant la saisie du code PIN, ce qui aura pour effet de générer une série de traces difficilement exploitables.
  • Augmenter la luminosité de l’écran, ce qui a pour effet d’augmenter la température de ce dernier et par ricochet de réduire l’efficacité de l’attaque thermique.


Source : Publication de la recherche

Et vous ?

Qu'en pensez-vous ? Avez-vous déjà commencé à appliquer les recommandations de l'équipe de chercheurs ?

Voir aussi :

Android : les gestionnaires de mots de passe les plus populaires présentent des vulnérabilités critiques, selon les chercheurs en sécurité de TeamSIK

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de shenron666
Expert confirmé https://www.developpez.com
Le 14/03/2017 à 10:52
Super... Sachant qu'une caméra thermique coûte plusieurs milliers d'euros je ne suis pas trop inquiet quant à la potentielle généralisation de cet exploit.
5  0 
Avatar de solstyce39
Membre actif https://www.developpez.com
Le 14/03/2017 à 11:07
Bonjour,

Et sinon, plus simplement, combien d'entre vous on déjà déduit le code de déverrouillage d'un téléphone juste avec les traces de gras sur l'écran du smartphone ?

Pour le coup cela est moins chère et peux s'avérer efficace
5  0 
Avatar de Capitaine_aizen
Membre régulier https://www.developpez.com
Le 14/03/2017 à 11:12
Citation Envoyé par GrandDI Voir le message
Mais je pense à une chose, est ce que cela peut donc malheureusement s'appliquer aux distributeurs de banque ?
Bonne question. Déjà il faudrait savoir si la machine ne dégage pas trop de chaleur par elle-même au point de rendre l'analyse des données plus compliquées (sorte de brouillage thermique). Ensuite, pour que ce soit critique, il faudrait arriver juste après la personne avec une caméra thermique (genre une Lepton, pour info, ça coute dans les environs de 300 €, c'est petit et ça marche bien), avoir sur soit l'électronique necessaire au traitement (raspberry pi + alim). Après faut être discret car les ATMs ont généralement une caméra pour filmer qui fait quoi au distributeur. Et la dernière hypothèse que les conditions environnementales soient favorables. Pour un distributeur dans une galerie marchande, ok. Mais dans une gare, un aéroport ou autres endroit exposé à des mouvements de masse d'air, l'énergie thermique déposé sur les touches va vite se dissiper au point de rendre l'analyse erronée voir impossible.
5  0 
Avatar de nirgal76
Membre chevronné https://www.developpez.com
Le 14/03/2017 à 13:00
Citation Envoyé par pierre-y Voir le message
Je ne comprend pas, vous voulez dire un système qui chaque matin donne un nouveau code pour la journée?
Non, un système (comme l'ont la plupart des sites bancaires) qui change la position des chiffres à l'écran à chaque saisie. ton code reste le même mais la trace de doigt ne renseignera en rien car les chiffre ne seront pas à la même place la fois suivante.
Je ne comprends même pas que ça n'existe pas sur tous les téléphones, c'est le minimum niveau sécurité.
4  0 
Avatar de GrandDI
Membre averti https://www.developpez.com
Le 14/03/2017 à 11:01
Je trouve cette petite news hyper sympa ! Un grand merci Patrick Ruiz.

Ensuite, je pense que pour l'instant on a pas trop de raison de s'inquiéter, déjà avec le prix des caméras et ensuite avec le temps que la chaleur reste sur l'écran.

Mais je pense à une chose, est ce que cela peut donc malheureusement s'appliquer aux distributeurs de banque ?
3  0 
Avatar de Patrick PETIT
Membre du Club https://www.developpez.com
Le 14/03/2017 à 13:54
Citation Envoyé par Capitaine_aizen Voir le message
Bonne question. Déjà il faudrait savoir si la machine ne dégage pas trop de chaleur par elle-même au point de rendre l'analyse des données plus compliquées (sorte de brouillage thermique). Ensuite, pour que ce soit critique, il faudrait arriver juste après la personne avec une caméra thermique (genre une Lepton, pour info, ça coute dans les environs de 300 €, c'est petit et ça marche bien), avoir sur soit l'électronique necessaire au traitement (raspberry pi + alim). Après faut être discret car les ATMs ont généralement une caméra pour filmer qui fait quoi au distributeur. Et la dernière hypothèse que les conditions environnementales soient favorables. Pour un distributeur dans une galerie marchande, ok. Mais dans une gare, un aéroport ou autres endroit exposé à des mouvements de masse d'air, l'énergie thermique déposé sur les touches va vite se dissiper au point de rendre l'analyse erronée voir impossible.
Citation Envoyé par GrandDI Voir le message
Bien répondu, c'est déjà beaucoup plus clair, et plus rassurant.
Bonjour à tous,

Dans mon entreprise nous utilisons une camera thermique FLUKE (environs 9000€) pour mettre au point un procèss. Le plus impressionnant c'est le temps pendant lequel on peut voir la chaleur sur le matériau. Pour en revenir à votre interrogation et d'après ma mince expérience ce n'est pas vraiment les masses d'air qui vont jouer c'est plutôt l'inertie du support sur lequel on pose ses doigts.

La première fois j'ai posé ma main sur le bureau en bois pendant 3 secondes et bien la caméra voit, environs, 15 secondes facile (ensuite ça disparaît progressivement, 60 secondes peut-être) . Par contre si vous posez votre main sur du métal c'est tout autre chose car le métal absorbe la chaleur résiduelle en un rien de temps. Sur un distributeur avec des touches en métal et vu le peu de temps que l'on y passe je suis sur que l'on peut voir quelques chose (surtout si il fait froid) et la caméra peut faire des instantanées on peut retrouver l'ordre d'appuie avec la différence de couleur.

Mais pas d'inquiétude vu le prix de la caméra, sa taille et sa couleur (FLUKE = JAUNE) vous devriez la voir et trouvez ça suspect
3  0 
Avatar de Matrix101
Membre à l'essai https://www.developpez.com
Le 14/03/2017 à 11:49
Il suffit d'utiliser un code PIN avec l'option "Randomize PIN entry" qui mélange à chaque fois les chiffres.
Ca règle le problème, et aussi (plus utile) la question des traces de doigts.
2  0 
Avatar de nirgal76
Membre chevronné https://www.developpez.com
Le 14/03/2017 à 14:01
Sur un distributeur avec des touches en métal et vu le peu de temps que l'on y passe je suis sur que l'on peut voir quelques chose (surtout si il fait froid) et la caméra peut faire des instantanées on peut retrouver l'ordre d'appuie avec la différence de couleur.

Mais pas d'inquiétude vu le prix de la caméra, sa taille et sa couleur (FLUKE = JAUNE) vous devriez la voir et trouvez ça suspect [/QUOTE]
Idéalement, il faut qu'une des touches soit répétée. Ca brouille les pistes car on ne saura pas laquelle est doublée et quand elle a été appuyée la première fois (ça marche aussi avec les traces de gras)
1  0 
Avatar de Capitaine_aizen
Membre régulier https://www.developpez.com
Le 14/03/2017 à 11:04
[Joke=on] Certains ont joué à Splinter Cell 1er du nom [Joke=off]
0  0 
Avatar de GrandDI
Membre averti https://www.developpez.com
Le 14/03/2017 à 11:33
Citation Envoyé par Capitaine_aizen Voir le message
Bonne question. Déjà il faudrait savoir si la machine ne dégage pas trop de chaleur par elle-même au point de rendre l'analyse des données plus compliquées (sorte de brouillage thermique). Ensuite, pour que ce soit critique, il faudrait arriver juste après la personne avec une caméra thermique (genre une Lepton, pour info, ça coute dans les environs de 300 €, c'est petit et ça marche bien), avoir sur soit l'électronique necessaire au traitement (raspberry pi + alim). Après faut être discret car les ATMs ont généralement une caméra pour filmer qui fait quoi au distributeur. Et la dernière hypothèse que les conditions environnementales soient favorables. Pour un distributeur dans une galerie marchande, ok. Mais dans une gare, un aéroport ou autres endroit exposé à des mouvements de masse d'air, l'énergie thermique déposé sur les touches va vite se dissiper au point de rendre l'analyse erronée voir impossible.

Bien répondu, c'est déjà beaucoup plus clair, et plus rassurant.
0  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web