Des attaques par image thermique

Une étude aborde une méthode inhabituelle utilisée pour voler les mots de passe : le thermoviseur.

Nous avons abordé le sujet des attaques par canal auxiliaire dans au moins deux de nos articles. Lors de certaines attaques, des informations confidentielles (mot de passe, clé de chiffrement ou données qui doivent être sécurisées) sont extraites de façon assez originale. Par exemple, au lieu de directement déchiffrer un système de chiffrement, le cybercriminel peut reconstruire la clé à partir de légers changements qu’il constate dans la consommation électrique du dispositif. Au lieu d’extraire les données confidentielles du cache de processeur, il peut les restaurer à partir de signes indirects : une chaîne complexe de tentatives qui ont échoué, alors que le cybercriminel essayait d’accéder aux données, s’exécute légèrement plus vite ou plus lentement, ce qui suggère la présence d’un zéro ou d’un un dans la section des données qui l’intéresse.

Cet exemple complexe illustre une attaque par canal auxiliaire. D’autres méthodes sont plus simples, et c’est ce dont nous allons parler aujourd’hui…

Quelle est l’attaque la plus simple qui peut être utilisée pour s’en prendre à un système informatique ? Le shoulder surfing : lorsqu’on vous vole votre mot de passe en regardant par-dessus l’épaule. Le cybercriminel n’a plus qu’à saisir le mot de passe pour avoir accès à vos données, sans avoir à pirater votre ordinateur ou un des logiciels que vous utilisez. La solution de défense contre le shoulder surfing est tout aussi simple : il vous suffit de cacher les touches avec votre main ou de vérifier qu’il n’y a personne derrière vous lorsque vous saisissez le code. Mais que faire si un escroc arrive a volé votre mot de passe après que l’avez saisi, notamment en lisant les empreintes digitales thermiques que vous avez laissées sur votre clavier ?

Les images thermiques et les distributeurs automatiques de billets

Les chercheurs ont les attaques par image thermique (alias attaques thermiques) dans le viseur depuis plus de 15 ans. Une des premières études dans ce domaine a exploré le scénario réel le plus courant : les attaques des distributeurs automatiques de billets. Voyons comment cela fonctionne. Voici l’image du clavier d’un distributeur normal :

Le clavier typique d'un distributeur automatique de billets. <a href="https://cseweb.ucsd.edu/~kmowery/papers/thermal.pdf" target="_blank">Source</a>.

Le clavier typique d’un distributeur automatique de billets. Source.

 

Vous allez au distributeur, vous insérez votre carte, vous saisissez votre code PIN, vous retirez votre argent et vous partez. Sans que vous ne le sachiez, un escroc se rend au même distributeur peu de temps après et prend une photo du clavier en utilisant une caméra thermique ou un thermoviseur :

Image du clavier d'un distributeur prise à l'aide d'un thermoviseur. <a href="https://cseweb.ucsd.edu/~kmowery/papers/thermal.pdf" target="_blank">Source</a>.

Image du clavier d’un distributeur prise à l’aide d’un thermoviseur. Source.

 

Si la photo est prise dans les 30 secondes après la saisie du code PIN, l’escroc a 50 % de chance de découvrir la séquence de chiffres. Le thermoviseur crée une image infrarouge où les parties plus sombres et plus claires indiquent une température plus ou moins élevée. À l’origine, le thermoviseur permet de vérifier les murs ou les fenêtres d’un bâtiment afin de déterminer l’origine des courants d’air. Il semblerait qu’il peut désormais être utilisé pour voler des codes PIN, même s’il convient de souligner que nous parlons d’une étude, et pas d’attaques réelles (du moins pas pour le moment).

Les premiers thermoviseurs coûtaient des dizaines de milliers d’euros, mais ils ne coûtent que quelques centaines d’euros depuis un certain temps. De plus, les thermoviseurs ont différents niveaux de sensibilité (il s’agit de la capacité à distinguer les petites différences de température). Par exemple, la photo ci-dessus, prise avec un dispositif professionnel coûteux, montre quelles touches ont été utilisées et dans quel ordre : la touche la plus chaude est celle qui a été touchée en dernier.

L’utilisation d’un thermoviseur pour le clavier d’un distributeur automatique de billets n’est pas si simple. L’image doit être prise dès que possible. La photo de l’exemple ci-dessus a été prise immédiatement après la saisie du code PIN. Le délai qui peut s’écouler entre la saisie et la prise de l’image est de 90 secondes maximum. Et rien ne garantit que cela va fonctionner. Par exemple, la victime potentielle pourrait porter des gants et ne laisser aucune empreinte digitale thermique. De plus, si un ou deux chiffres se répètent, le processus se complique. D’ailleurs, serez-vous capable de deviner le code PIN de l’image ci-dessus ? Testez vos capacités de déduction ! La bonne réponse est 1485.

Les chercheurs ont réalisé 54 tests complets, tout en modifiant légèrement les paramètres de chacun. Les empreintes digitales thermiques ont été analysées manuellement et à l’aide de systèmes automatiques (avec des résultats légèrement meilleurs avec ces derniers). Dans près de la moitié des cas, ils ont pu deviner quelles touches avaient été utilisées mais pas dans quel ordre. Le code PIN correct a été obtenu dans moins de 10 % des tests. Un code à quatre chiffres avec le choix entre 10 chiffres donne 10 000 combinaisons possibles. Si nous savons quels chiffres ont été utilisés mais que nous ne connaissons pas la séquence, nous avons 24 combinaisons. Cela reste supérieur au nombre d’essais autorisés : après trois tentatives, la carte est généralement bloquée. Cette étude de 2011 a étendu nos connaissances sur l’espionnage thermique mais n’a pas fourni de résultats significatifs. Pourtant, ce n’est pas l’étude la plus récente…

Les images thermiques et les smartphones

Les smartphones peuvent aussi être victimes d’une attaque thermique. Une étude de 2017 l’a clairement montré, notamment grâce à des images révélatrices :

Codes PIN et schémas qui permettent de déverrouiller un smartphone et les traces thermiques laissées. <a href="https://www.researchgate.net/publication/312490359_Stay_Cool_Understanding_Thermal_Attacks_on_Mobile-based_User_Authentication" target="_blank">Source</a>.

Codes PIN et schémas qui permettent de déverrouiller un smartphone et les traces thermiques laissées. Source.

 

Comme dans le cas précédent, la réussite d’une attaque dépend du moment où l’image thermique est prise après que le code PIN a été saisi ou que le schéma a été dessiné. L’obtention de l’image est un peu plus compliquée dans ce cas puisque, contrairement au distributeur automatique de billets, les utilisateurs n’abandonnent jamais leur smartphone. Néanmoins, il n’est pas vain d’imaginer un scénario qui permettrait d’obtenir l’image au bon moment.

En 2017, les technologies d’analyse des données avaient été améliorées et le taux de réussite était supérieur à celui des tests réalisés en 2011 avec les distributeurs automatiques de billets : jusqu’à 89 % des codes PIN étaient correctement obtenus grâce à une image thermique. 78 % des codes étaient devinés lorsque l’image était prise 30 secondes après que le téléphone est déverrouillé, et ce taux était de 20 % lorsque les chercheurs attendaient 60 secondes. D’ailleurs, les schémas sont plus difficiles à obtenir avec cette méthode. Ce n’est pas tout, puisque nous rencontrons un autre problème. En 2010, il a été démontré que ces combinaisons sont assez faciles à deviner grâce aux traces que laissent les doigts sur l’écran, et qui restent beaucoup plus longtemps que les empreintes digitales.

Les images thermiques et les claviers

Quel est le point commun entre un distributeur automatique de billets et un smartphone ? Il y a peu de touches ! Dans les deux cas, ce sont des combinaisons de chiffres courtes. Pour vraiment tester les possibilités de l’espionnage thermique, il vaut mieux essayer avec un mot de passe alphanumérique saisi depuis un vrai clavier. C’est exactement ce qu’une équipe de chercheurs de l’université de Glasgow, Écosse, a fait. Vous trouverez les résultats de leur étude ici. L’image d’un clavier à travers un thermoviseur ressemble à cela :

Traces thermiques laissées sur un clavier d'ordinateur. <a href="https://dl.acm.org/doi/pdf/10.1145/3563693" target="_blank">Source</a>.

Traces thermiques laissées sur un clavier d’ordinateur. Source.

 

Les tâches lumineuses montrent quelles touches ont été utilisées. Cette étude, comme les autres, a testé à quel point le mot de passe récupéré après un certain temps est fiable : les photos ont été prises au bout de 20, 30 et 60 secondes. Une nouvelle variable, parfois arbitraire, est apparue : la longueur du mot de passe. Plus important encore, les chercheurs ont utilisé des algorithmes d’apprentissage automatique. Ils sont indispensables lorsque ces tests impliquent l’extraction de données utiles du bruit. Les algorithmes d’apprentissage automatique entraînés avec des centaines d’images de claviers associées avec des combinaisons connues ont montré d’excellents résultats quant à la récupération des mots de passe. Voici un tableau qui résume les résultats :

Comment la récupération du mot de passe dépend du temps qui s'écoule entre la saisie du mot de passe et la photo, mais aussi de la longueur du mot de passe. <a href="https://dl.acm.org/doi/pdf/10.1145/3563693" target="_blank">Source</a>.

Comment la récupération du mot de passe dépend du temps qui s’écoule entre la saisie du mot de passe et la photo, mais aussi de la longueur du mot de passe. Source.

 

Contre toute attente, dans la moitié des cas, même un mot de passe de 16 caractères pouvait être récupéré. Les exemples ci-dessus montrent à quel point il est difficile de récupérer l’ordre dans lequel les touches ont été utilisées lorsque les différences de température sont minimes. L’étude en a tiré une conclusion importante que vous et moi connaissons déjà : les mots de passe doivent être longs et de préférence générés par un programme spécial qui gère les mots de passe.

Il y a aussi quelques découvertes inattendues. L’efficacité de la méthode dépend du type de plastique puisque certains chauffent plus que d’autres. Le rétroéclairage est un autre facteur déterminant. De façon générale, n’importe quelle source de chaleur extérieure, que ce soit à cause de LED intégrées ou du processeur qui se trouve sous le clavier de l’ordinateur portable, détruit les empreintes thermiques. Un autre point : plus le mot de passe est saisi rapidement, plus il sera difficile de le deviner grâce aux images thermiques.

Ces attaques sont-elles réalistes ?

Il n’y a pas de réponse universelle. Les données de votre téléphone sont-elles importantes et pourraient convaincre quelqu’un de vous suivre avec une caméra thermique ? Est-ce plausible ? Heureusement, la plupart des gens ne sont pas touchés par ces attaques qui sont trop compliquées. L’espionnage thermique semble être la principale menace du verrouillage numérique qui nécessite la saisie d’un code. Prenons l’exemple du digicode à l’entrée d’un bâtiment. Dans ce cas, le code est toujours le même (ou presque) et la serrure électronique se trouve généralement sur la voie publique. Un espion pourrait avoir beaucoup de temps et de nombreuses tentatives afin de deviner le bon code d’accès.

Dans d’autres cas, cette méthode n’est faisable que dans le cadre d’une attaque ciblée qui cherche à obtenir des informations précieuses spécifiques. La solution consiste à noyer les informations sensibles dans le bruit, comme nous le conseillons généralement lorsqu’il s’agit de se protéger contre les attaques par canal auxiliaire. Vous pouvez porter des gants lorsque vous saisissez votre code PIN et ainsi rendre l’attaque impossible. Vous pouvez également utiliser un clavier avec une source de chaleur pour que les cybercriminels se creusent les méninges. Lorsque vous saisissez votre mot de passe, vous pouvez appuyer sur ou effleurer d’autres touches pour qu’il soit impossible de récupérer la séquence correcte.

Une étude de méta-analyse d’attaque thermique a été publiée en 2022, et l’objectif était d’essayer d’évaluer à quel point les attaques par image thermique sont réalistes. Les auteurs ont signalé que ces attaques sont pragmatiques et réalisables, et qu’elles doivent être prises en compte lorsqu’un modèle de menace est établi. Nous ne sommes pas certains que ce problème deviendra sérieux à court terme. Pourtant, cette méta-analyse tire une conclusion importante : un mot de passe peut être volé lorsqu’il est saisi !

De façon détournée, nous en sommes arrivés au sujet de la fin des mots de passe. La menace des attaques thermiques est, évidemment, un motif très original qui pourrait justifier leur suppression. Réfléchissez-y : vous ne saisissez pas de mot de passe lorsque votre téléphone vous identifie grâce à votre empreinte digitale ou grâce à la reconnaissance faciale. Vous ne saisissez pas non plus de mot de passe lorsque vous avez une clé de sécurité pour un produit. Plusieurs attaques potentielles (et des années de recherche) ne sont plus pertinentes si aucun mot de passe n’est saisi. Il est vrai que les autres méthodes d’authentification ont quelques points faibles, mais les mots de passe habituels en ont généralement plus. Les systèmes d’authentification modernes sans mot de passe rendent les attaques presque impossibles. L’abandon des mots de passe traditionnels offre de nombreux avantages, et nous en avons désormais un de plus : personne ne pourra vous prendre par surprise à l’aide d’une caméra thermique et voler votre code secret. Cela n’est possible que si vous ne saisissez pas votre mot de passe, comme nous l’avons déjà dit.

Conseils