Aller directement au contenu
espionnage-skype
Produits et Services PRODUITS & SERVICES

Espionnage Skype par l’analyse des ondes acoustiques du clavier lors de la saisie

Espionnage Skype par l’analyse des ondes acoustiques du clavier lors de la saisie

espionnage-skypeSelon une nouvelle étude, si vous tapez sur le clavier de votre ordinateur ou de votre portable lorsque vous êtes sur Skype, les participants peuvent espionner ce que vous êtes en train d’écrire.

Selon un rapport émanant de chercheurs de l’Université Irvine de Californie, l’Université Sapienza de Rome et de l’Université de Padua, le son émis lorsque l’on frappe sur les touches du clavier, et les ondes acoustiques associées, peuvent être enregistrées lors d’une session sur Skype, que ce soit lors d’un appel ou d’une vidéo, et retranscrit ultérieurement sous forme de texte.

Gene Tsudik, Président de l’Université, Professeur d’informatique à l’UCI et un des coauteurs, a déclaré à ScienceBlog que certains petits curieux pouvaient découvrir avec exactitude ce que vous aviez saisi au clavier, y compris des informations confidentielles telles que des mots de passe “et d’autres choses personnelles”.

L’espionnage acoustique lorsque l’on frappe une touche du clavier a déjà été démontré comme théoriquement faisable par le passé, cependant cela était resté dans l’univers de James Bond.

Il y avait eu le scénario dans lequel les chercheurs avaient montré qu’une SmartWatch, dotée de capteurs de mouvement, pouvait être utilisée pour détecter les touches frappées avec votre main gauche (ou n’importe quelle main sur laquelle la montre était placée), et ainsi deviner les mots complets que vous aviez saisi.

Cependant les cybercriminels auraient certainement du créer une application pour camoufler cette fonction, par exemple par le biais d’un podomètre, et l’utiliser ensuite pour suivre ce qu’une personne était en train de taper.

Avant cela, il y avait eu l’équipe de chercheurs de Georgia Tech, qui avait montré comment espionner ce qui était saisi sur un clavier classique d’ordinateur, via l’accéléromètre d’un téléphone portable placé dans les environs, et en utilisant un logiciel spécial pour analyser les vibrations générées par la saisie sur chaque touche.

Il existait encore une autre proposition encore plus sensible : le téléphone devait se trouver dans un rayon de 7.5 cm autour du clavier. Les espions ne pouvaient plus rien obtenir sur leurs victimes laissaient leurs téléphones dans leurs poches ou dans leurs sacs à main, ou encore si tout simplement elles s’éloignaient de plus de 7.5 cm.

La beauté, ou le hasard si vous préférez, de l’espionnage Skype est qu’un petit curieux n’a plus besoin d’une proximité physique vis-à-vis de sa cible, ni d’un profilage précis de la victime en train de saisir au clavier, et/ou d’une quantité importante d’informations prédéfinies et relatives au type de saisie sur le clavier (et les sons correspondants).

Les chercheurs italiens et californiens appellent leur nouvelle modèle acoustique d’espionnage Skype : Skype & Type (S&T), malgré le fait que ce n’est pas uniquement Skype qui peut être concerné. En réalité, n’importe quel logiciel VoIP (Voice-over-IP) le sera.

Cependant, l’un des logiciels VoIP les plus populaires est tout de même Skype. Les chercheurs ont trouvé que Skype pouvait acquérir assez d’informations audio aériennes lors de la saisie pour reconstruire la séquence de touches frappées, incluant les mots de passe générés de manière aléatoire ou les PINs, avec un minimum de profilage sur la manière de taper de la personne et du clavier.

La capacité de capturer de manière aléatoire des touches frappées sur le clavier est une avancée significative en comparaison aux précédents travaux réalisés, y compris cette attaque remontant à 2011 décrite par Georgia Tech, dans laquelle seuls les mots de 3 lettres ou plus pouvaient fonctionner.

Quiconque ayant un peu de culture en sécurité n’utilise pas les mots du dictionnaire pour choisir son mot de passe (même s’il se peut qu’il utilise la technique de passphrase qui consiste à coller les mots les uns aux autres, rendue célèbre par la bande dessinée xkcd sur correcthorsebatterystaple).

Les attaques acoustiques précédentes se basaient sur les caractéristiques de frappes collectées par pair et comparées avec un dictionnaire.

La technique datant de 2015 qui utilisait le capteur d’un téléphone portable, analysait le timing de chaque frappe et le déplacement de la montre lors du déplacement du poignet de la personne, pour atteindre les touches qu’elles soient proches ou éloignées.

Avec cette technique récente d’espionnage Skype acoustique, un espion familier avec la manière de frapper de sa cible et le type de clavier utilisé (ils ont tous différentes acoustiques) peut deviner quelle touche est frappée de manière aléatoire avec une efficacité de 91.7%

Tsudik :

Il est possible de construire un profil des ondes acoustiques générées par chaque touche frappée sur un clavier donné.

Par exemple, le T sur un MacBook Pro “sonne” différemment que cette même lettre sur le clavier d’un autre fabriquant. Il sonne aussi différemment d’un R sur le même clavier, qui est pourtant juste à côté du T.

Même si un espion ne connait pas le clavier utilisé et la manière de frapper les touches de la cible en question, l’efficacité peut tout de même atteindre 41.89%.

Est-ce que ces résultats sont suffisants pour deviner le mot de passe de quelqu’un ?

Les chercheurs ont déclaré que si l’objectif de l’espion était de récupérer un mot de passe aléatoire, essayant ainsi les lettres devinées grâce à une attaque de type Skype & Type, le nombre de tentatives pour craquer ce dernier serait réduite par 12 en ordre de grandeur.

Même avec le scénario d’attaque le plus pessimiste, ils ont déclaré que le nombre de tentatives pour craquer le mot de passe serait tout de même réduite par 1 en ordre de grandeur.

Les experts ont montré que leur attaque Skype & Type pouvait aussi gérer les problèmes de qualité typiques des systèmes VoIP, y compris la fluctuation de la bande passante internet, qui dégrade la qualité des communications et l’interruption des personnes en train de parler du fait de la saisie sur le clavier.

Tsudik a déclaré à ScienceBlog que ce type d’attaque n’était pas possible avec des écrans tactiles, des claviers holographiques ou des keypads.

De plus, un espion potentiel doit participer à la communication, étant donné qu’il serait impossible de bypasser le chiffrement de la communication réalisée par Skype pour intercepter les touches saisies au clavier.

Cependant cela laisse beaucoup de possibilités pour les participants à des Skype qui souhaiteraient espionner les autres, a déclaré Tsudik :

La chose intéressante est que les participants à des Skype ne sont pas tout le temps des amis et n’ont pas non plus forcément confiance les uns envers les autres.

Imaginez une conversation sur Skype entre des avocats des 2 parties opposées au sujet d’une affaire juridique, ou bien entre des concurrents ou encore entre des diplomates représentant différents pays.


//platform.twitter.com/widgets.js
Partagez Espionnage Skype par l’analyse des ondes acoustiques du clavier lors de la saisie : http://wp.me/p2YJS1-30P
Billet inspiré de Snoops can tell what you type while you Skype, researchers find, par Lisa Vaas, Sophos NakedSecurity.

Lire des articles similaires

1 commentaire

Qu’en pensez-vous ? Laissez un commentaire.

Your email address will not be published. Required fields are marked *