D’abord, quelques chiffres
L’équipe de chercheurs révèle qu’un tiers muni du procédé d’attaque thermique mis au point pourrait, dans les 30 secondes suivant l’introduction du verrou par l’utilisateur, le révéler avec succès dans 72 à 100 % des cas.
Aperçu du procédé
Pour y parvenir, le hacker devrait se munir d’une caméra thermique. Son usage lui permettrait alors de collecter les traces de chaleur sur l’afficheur et d’en faire une image thermique, laquelle serait alors passée à un analyseur thermique logiciel pour convertir les données en niveaux de gris avec réduction du bruit (confer image ci-dessous). L’isolation des points chauds dans l’image permettrait alors de révéler le verrou, qu’il soit un code PIN ou un schéma.
Perspectives
Les chercheurs affirment que les résultats obtenus dépendent énormément de la sensibilité de la caméra thermique. Une caméra thermique de meilleure sensibilité que celle utilisée dans le cadre de l’expérience permettrait de faire passer l'intervalle de temps dans lequel il sera encore possible de révéler le code à 60 secondes. Ils entrevoient également la généralisation de ce concept à tous les appareils munis d’écrans tactiles avec en plus la mise en œuvre logicielle des réseaux de neurones pour booster l’analyseur thermique en robustesse.
Recommandations de l’équipe de recherche
- Faire usage de codes PIN plus longs a pour effet de réduire de façon importante l’efficacité d'une attaque thermique.
- Privilégier des outils permettant de combiner les modes de verrou (PIN et schémas).
- Recouvrir l’afficheur avec toute la main pendant la saisie du code PIN, ce qui aura pour effet de générer une série de traces difficilement exploitables.
- Augmenter la luminosité de l’écran, ce qui a pour effet d’augmenter la température de ce dernier et par ricochet de réduire l’efficacité de l’attaque thermique.
Source : Publication de la recherche
Et vous ?
Qu'en pensez-vous ? Avez-vous déjà commencé à appliquer les recommandations de l'équipe de chercheurs ?
Voir aussi :
Android : les gestionnaires de mots de passe les plus populaires présentent des vulnérabilités critiques, selon les chercheurs en sécurité de TeamSIK