Des experts en sécurité informatique en Écosse ont développé un système qui utilise l’imagerie thermique et l’intelligence artificielle pour deviner les mots de passe des ordinateurs et des smartphones en quelques secondes.

“Ils disent qu’il faut penser comme un voleur pour attraper un voleur”, a déclaré Mohamed Khamis, professeur agrégé d’informatique à l’Université de Glasgow, dans un communiqué de presse. “Nous avons développé ThermoSecure en réfléchissant soigneusement à la manière dont des acteurs malveillants pourraient exploiter les images thermiques pour s’introduire dans les ordinateurs et les smartphones.”

Les résultats de la recherche ont été publiés dans une nouvelle étude dans la revue à comité de lecture ACM Transactions on Privacy and Security.

ThermoSecure fonctionne essentiellement en analysant les traces de chaleur laissées par vos doigts lorsque vous saisissez votre mot de passe sur un clavier ou un appareil mobile. Étant donné que les zones plus lumineuses sur une image thermique à détection de chaleur montrent des endroits qui ont été touchés plus récemment, il est alors possible de discerner l’ordre dans lequel des lettres, des chiffres et des symboles spécifiques ont été utilisés. Pour ce faire, Khamis et son équipe ont utilisé l’apprentissage automatique et 1 500 images thermiques de claviers QWERTY récemment utilisés pour former un modèle d’intelligence artificielle pour lire les signatures thermiques, puis prendre des décisions éclairées sur les mots de passe potentiels.

Le système a pu révéler 86 % des mots de passe lorsqu’une image thermique a été prise dans les 20 secondes suivant la saisie. En 30 secondes, le taux de réussite est tombé à 76 %, tandis qu’après 60 secondes, il est tombé à 62 %.

L’équipe a découvert que des mots de passe plus longs offraient une meilleure protection. En 20 secondes, ThermoSecure n’a pu déchiffrer que 67 % des mots de passe à 16 caractères, mais son taux de réussite a grimpé à 82 % pour les mots de passe à 12 symboles, 93 % pour les huit symboles et 100 % pour les six symboles.

Le style de frappe a également eu un impact. Les utilisateurs de clavier “chasser et picorer” à la recherche lente avaient tendance à s’attarder davantage sur les touches, créant des signatures thermiques plus durables que les “dactylos tactiles” rapides. Après 30 secondes, ThermoSecure pouvait deviner les mots de passe des premiers groupes avec une précision de 92 %, contre 80 % pour le groupe le plus rapide.

Les propriétés d’absorption de chaleur des différents matériaux de clavier ont même joué un rôle. ThermoSecure pouvait deviner les mots de passe à partir de clés fabriquées avec des plastiques ABS 52 % du temps, mais seulement 14 % du temps lorsqu’elles étaient fabriquées avec des plastiques PBT, qui sont moins courants.

Les caméras thermiques devenant plus abordables et l’apprentissage automatique devenant plus accessible, l’équipe à l’origine de ThermoSecure suggère que les types “d’attaques thermiques” menées pour leur étude pourraient devenir de plus en plus courants. En plus de suggérer des méthodes alternatives d’authentification numérique comme les empreintes digitales ou la reconnaissance faciale, ils proposent plusieurs conseils pour protéger vos mots de passe.

“Les mots de passe plus longs sont plus difficiles à deviner avec précision pour ThermoSecure, nous vous conseillons donc d’utiliser des mots de passe longs dans la mesure du possible”, a expliqué Khamis. “Les claviers rétroéclairés produisent également plus de chaleur, ce qui rend les lectures thermiques précises plus difficiles, de sorte qu’un clavier rétroéclairé avec des plastiques PBT pourrait être intrinsèquement plus sûr.”