Une équipe d’universitaires spécialisés dans la cybersécurité ont réussi à mettre au point une nouvelle attaque informatique redoutable, capable d’identifier un mot de passe en se basant simplement sur le bruit des frappes de clavier. Sans surprise, l’IA est passée par là…
Qui aurait pu croire qu’il serait, un jour, possible d’identifier un mot de passe en se concentrant uniquement sur le bruit que fait votre clavier quand vous le tapez ? À l’ère des intelligences artificielles, cette inquiétante perspective s’avère pourtant être devenue réalité. On doit cette découverte à Joshua Harrison, Ehsan Toreini et Maryam Mehrnezhad, des chercheurs des universités de Durham, de Surrey et de la Royal Holloway University of London.
Ensemble, ils ont publié une étude le 2 août dernier, nommée « Une attaque pratique de canal latéral acoustique basée sur l’apprentissage en profondeur sur les claviers ». Ils ont trouvé un moyen jusque-là inédit de pirater les mots de passe sur ordinateur.
Quand le bruit du clavier trahit votre mot de passe
L’expérience menée par les universitaires implique un ordinateur portable, un smartphone connecté à Zoom, et un logiciel basé sur une intelligence artificielle nommé CoAtNet. Dans le procédé, Zoom est utilisé pour enregistrer, à distance, les bruits émis par le clavier de l’utilisateur au moment où il tape du texte. Puis les frappes sur le clavier sont isolées et converties en un spectrogramme mel, qui est ensuite transmis à CoAtNet, un modèle d’apprentissage profond. C’est celui-ci qui se charge de « classer » les « images » de frappe.
Une fois l’intelligence artificielle suffisamment éduquée à reconnaitre le son des touches de clavier, elle est parvenue à retranscrire les données rédigées avec une précision de 95%, « la précision la plus élevée observée sans l’utilisation d’un modèle de langage », affirment les chercheurs. « Lors d’une formation sur les frappes enregistrées à l’aide du logiciel de visioconférence Zoom, une précision de 93% a été atteinte, un nouveau record pour le médium. »
Une attaque « locale » plutôt simple à mettre en place
Outre le fait que l’étude démontre qu’une intelligence artificielle peut facilement être mise à profit pour « voler » des textes rédigés en se basant sur les frappes du clavier, ce qui peut très facilement inclure des mots de passe, elle met aussi en avant qu’il est relativement simple de tendre un piège à quelqu’un. En effet, il suffit d’être en mesure de placer un microphone dans la pièce où se trouve la victime, puis de laisser ce dernier enregistrer les frappes du clavier. Qu’il s’agisse d’un dictaphone, d’un smartphone ou d’un autre dispositif de ce genre, l’important c’est qu’il puisse conserver cet enregistrement.
À l’heure où tout le monde possède un smartphone et l’utilise constamment, l’utilisation d’un appareil de ce genre peut totalement passer inaperçue pour réaliser un espionnage de ce type. Même s’il est nécessaire d’avoir un « complice » dans la pièce, on imagine sans peine les conséquences que pourrait avoir l’usage d’une telle attaque ciblée, qui vise la confidentialité, mais aussi la sécurité des victimes. Et c’est sans compter sur les données confidentielles dépassant la sphère privée qui pourraient être mises en danger dans une telle situation.
« L’omniprésence des émanations acoustiques du clavier en fait non seulement un vecteur d’attaque facilement disponible, mais incite également les victimes à sous-estimer (et donc à ne pas essayer de cacher) leurs écrits », estiment les chercheurs. « Par exemple, lors de la saisie d’un mot de passe, les gens masquent régulièrement leur écran, mais ne font pas grand-chose pour obscurcir le son de leur clavier. »
Comment éviter une attaque de ce genre ?
Reste qu’à l’heure actuelle, l’usage de l’algorithme nécessite que ce dernier ait bénéficié d’un apprentissage avec le clavier visé. Pour l’étude, c’est un clavier de MacBook Pro qui a été utilisé. Chaque touche a été pressée 25 fois en variant la pression et le doigté pour qu’elle devienne identifiable. Cela a cependant suffi à obtenir un pourcentage élevé de fiabilité des résultats.
Pour tenter de contrer une telle attaque, les chercheurs recommandent de varier la manière d’utiliser le clavier, d’opter pour des mots de passe aléatoires plutôt que pour des suites de lettres composant un mot identifiable, et même de taper volontairement de fausses frappes régulièrement. Des réflexes qui ne sont pas forcément faciles à prendre au quotidien…