Les capteurs des smartphones permettent de contourner la sécurité des codes PIN

Selon des chercheurs de l’Université de Newcastle, les capteurs de mouvement intégrés dans les smartphones pourraient offrir aux cybercriminels un moyen de contourner la sécurité des codes PIN.

De nos jours, les smartphones sont truffés de capteurs, qui vont des plus connus tels que le GPS, l’appareil photo, le micro et le lecteur d’empreinte digitale. Mais il en existe d’autres types tels que les accéléromètres, les gyroscopes, les capteurs de lumière ambiante, les magnétomètres, les capteurs de proximité, les baromètres, les thermomètres et les capteurs d’humidité de l’air, pour n’en citer que quelques-uns parmi les 25 présents, selon une estimation, dans les modèles les mieux équipés.

Il s’agit donc de beaucoup de données potentielles à cibler, pour une application indésirable ou un site web malveillant, dont une grande partie d’ailleurs n’est pas couverte par un système d’autorisations ou de notifications cohérent.

L’étude menée par l’Université de Newcastle a porté sur les capteurs qui enregistrent l’orientation, le mouvement et la rotation d’un dispositif qui, selon la théorie de l’équipe de chercheurs, pourrait être utilisés pour révéler des actions tactiles spécifiques.

La méthodologie se basait sur 10 utilisateurs de smartphones qui devaient saisir 50 codes PIN tests à quatre chiffres, cinq fois chacun au niveau d’une page web, lesquels devaient alimenter en données un réseau neuronal utilisé pour deviner les codes PIN.

Dans ce test, le réseau a deviné correctement le code PIN lors de sa première tentative et ce dans 70% des cas. À la cinquième estimation, le taux de réussite avait atteint 100%.

À titre de comparaison, l’équipe estime qu’une tentative pour deviner, de manière aléatoire, un code PIN à quatre chiffres (parmi 10 000 possibilités) aurait une probabilité de réussir de l’ordre de 2% pour la première saisie, et 6% pour la troisième saisie.

Il s’agit donc d’un taux de réussite impressionnant, ainsi la question est la suivante : les utilisateurs de smartphones devraient-ils s’inquiéter ?

À court terme, pas vraiment. La mise au point de ce réseau neuronal pour atteindre ce niveau de précision nécessiterait une grande quantité de données de test, 250 codes PIN par utilisateur, sur lesquels se reposer pour en tirer des conclusions sur les touches qui auront été touchées.

La récupération de ces codes PIN ne peut être réalisée que sous des conditions spécifiques, comme par exemple celle où un cybercriminel exécuterait une application malveillante, ou aurait attiré l’utilisateur sur un site web utilisant un code JavaScript malveillant, dans un onglet qui serait resté ouvert pendant la saisie d’un code PIN au niveau d’un autre site.

Dans des conditions réelles, cela serait très difficile à réaliser. Dans tous les cas, l’équipe a souligné que presque un quart des utilisateurs de smartphones avaient choisis des codes PIN à partir de 20 séquences de chiffres prévisibles telles que 1234, 0000 ou 1000, de sorte que la capacité d’analyse du système neuronal pour deviner les codes PIN, s’avérerait au final bien trop sophistiqué.

L’étude nous montre que la manière de tenir, de cliquer, de faire défiler et de taper sur un smartphone génère des données qui ne sont pas aussi indéchiffrables ou aléatoires que les utilisateurs le pensent probablement.

L’auteur principal de l’étude, le Dr Maryam Mehrnezhad, a déclaré :

Nous sommes tous attirés par le dernier téléphone, avec les dernières fonctionnalités et une expérience utilisateur la meilleure possible, mais comme il n’existe pas de manière standard de gérer les capteurs dans l’industrie de la téléphonie, ils représentent une menace réelle pour notre sécurité personnelle.  

Une solution serait d’étendre les autorisations au niveau des capteurs afin que les utilisateurs puissent savoir lorsqu’un site ou une application malveillante tentent d’y accéder. Mais il en existe tellement aujourd’hui au sein des smartphones, que cela pourrait entraîner une surcharge des notifications.

Les autres suggestions de l’équipe, telles que changer les codes PIN régulièrement, vérifier les permissions de l’application avant l’installation, fermer les onglets d’arrière-plan et les applications sont censés, mais peu susceptibles d’être appliquées par l’utilisateur moyen d’un smartphone, à en juger par l’accueil réservé par le passé à tous les conseils en matière de cybersécurité !

Alternativement, les utilisateurs pourraient simplement utiliser des codes PIN plus longs ou, mieux encore, l’industrie pourrait les abandonner tout simplement (comme cela se fait ailleurs), en faveur de meilleures options de sécurité. Les utilisateurs aiment les codes PIN, mais plus le temps passe, plus leurs jours semblent comptés.

Follow @ SophosFrance //platform.twitter.com/widgets.js
Billet inspiré de Smartphone sensors offer hackers a way past security PINs, par John E Dunn, Sophos NakedSecurity.