{"id":15545,"date":"2020-08-31T12:53:09","date_gmt":"2020-08-31T12:53:09","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=15545"},"modified":"2020-08-31T12:53:09","modified_gmt":"2020-08-31T12:53:09","slug":"spikey-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/spikey-attack\/15545\/","title":{"rendered":"SpiKey : \u00e9coute de cl\u00e9s"},"content":{"rendered":"

Un verrou n\u2019est fiable que dans la mesure o\u00f9 un intrus ne peut pas l\u2019ouvrir. Malheureusement, la technologie informatique simplifie les choses, y compris pour ceux qui d\u00e9testent les portes qu\u2019ils ne peuvent pas ouvrir (non, nous ne parlons pas des chats). Il est beaucoup plus facile de faire un double de cl\u00e9s<\/a> gr\u00e2ce aux imprimantes 3D m\u00eame si, pour les imprimer, les escrocs ont d\u2019abord besoin d\u2019une image d\u00e9cente de la cl\u00e9 originale.<\/p>\n

Des chercheurs de Singapour ont r\u00e9cemment publi\u00e9 une \u00e9tude au sujet de SpiKey<\/a>, une attaque de serrure verrouill\u00e9e qui n\u2019a pas besoin d\u2019une image. Il suffit d\u2019enregistrer avec votre smartphone les clics de la cl\u00e9 lorsque vous l\u2019ins\u00e9rez dans la serrure.<\/p>\n

Comment les clics r\u00e9v\u00e8lent la forme de la cl\u00e9<\/h2>\n

L\u2019attaque fonctionne sur les serrures \u00e0 goupilles<\/a>, qui sont celles les plus utilis\u00e9es de nos jours. Ce m\u00e9canisme repose sur l\u2019utilisation d\u2019un cylindre qui doit tourner pour ouvrir ou fermer la porte. Ce cylindre est compos\u00e9 de plusieurs pistons qui se divisent en deux parties, de diff\u00e9rentes longueurs, et qui se maintiennent en place gr\u00e2ce \u00e0 des ressorts.<\/p>\n

Lorsqu\u2019il n\u2019y a aucune cl\u00e9, les goupilles remplissent enti\u00e8rement le cylindre et la partie ext\u00e9rieure emp\u00eache le cylindre de tourner. Si une cl\u00e9 a la forme appropri\u00e9e, alors elle fait bouger les pistons pour que les lignes des deux parties co\u00efncident avec les bords du cylindre. Dans ce cas, rien n\u2019emp\u00eache le cylindre de tourner. La profondeur des rainures (crans) est le secret de la cl\u00e9 puisque ces rainures permettent aux goupilles de s\u2019encastrer.<\/p>\n

\"Cl\u00e9

Cl\u00e9 dans une serrure \u00e0 goupilles. Source<\/a><\/p><\/div>\n

Lorsque vous ins\u00e9rez la cl\u00e9 dans la serrure, les pistons bougent suivant la forme de la cl\u00e9. Ils montent lorsqu\u2019ils passent sur une cr\u00eate (protub\u00e9rance entre les rainures) puis retombent. Lorsque la goupille redescend, elle fait un clic.<\/p>\n

En mesurant le temps \u00e9coul\u00e9 entre chaque clic, les scientifiques ont pu d\u00e9terminer la distance entre les cr\u00eates de la cl\u00e9. Pourtant, cette m\u00e9thode ne r\u00e9v\u00e8le pas la principale variable\u00a0: la profondeur des crans de la cl\u00e9. Elle permet toutefois de savoir quelle est la forme de la cl\u00e9. Gr\u00e2ce \u00e0 cette approche, les chercheurs ont pu trouver les variantes de la cl\u00e9 qui correspondaient \u00e0 l\u2019originale.<\/p>\n

Pourquoi l\u2019attaque SpiKey est-elle dangereuse<\/h2>\n

Un escroc ne peut pas utiliser l\u2019attaque SpiKey pour dresser un portrait d\u00e9taill\u00e9 de la cl\u00e9 originale. Voici tout de m\u00eame un autre fait int\u00e9ressant\u00a0: les cl\u00e9s ne sont pas vraiment le fruit du hasard. En regroupant les donn\u00e9es de distance entre les cr\u00eates et les connaissances des exigences des cl\u00e9s de serrures \u00e0 six goupilles fabriqu\u00e9es par Schlage, les chercheurs ont pu r\u00e9duire le nombre de cl\u00e9s possibles, passant de 330 000 \u00e0 juste quelques mod\u00e8les. Si quelqu\u2019un veut copier une cl\u00e9, il peut tout simplement imprimer en 3D cinq variantes puis les essayer. Il est fort probable qu\u2019une des cl\u00e9s arrivent \u00e0 d\u00e9verrouiller la porte.<\/p>\n