Gabriel V.
En résumé: Les chercheurs en intelligence artificielle ont mis au point une méthode pour pirater des mots de passe en écoutant les utilisateurs taper sur un clavier. Ils ont montré que leur algorithme d’IA peut apprendre à reconnaître les lettres tapées en fonction de leur son lorsqu’elles sont frappées sur un clavier. Les tests réalisés à l’aide de plusieurs sources d’enregistrement ont révélé que la technique est très précise.
Des chercheurs de l’Université de Durham au Royaume-Uni ont développé (PDF) un modèle d’apprentissage profond que des acteurs malveillants pourraient utiliser pour voler des mots de passe à distance. Les chercheurs ont entraîné l’IA sur les sons des caractères tapés sur des claviers à différentes distances et angles afin de créer des profils sonores pour chaque touche. Ils ont testé le modèle à l’aide de plusieurs méthodes, qui ont toutes donné des résultats de précision supérieurs à 90 pour cent.
La technique la plus précise consistait à utiliser le microphone d’un smartphone pour « écouter » quelqu’un taper sur un MacBook Pro. En plus d’être la plus précise (95 pour cent), c’est la façon la plus facile pour un pirate informatique de récupérer les frappes sur un clavier. Imaginez son utilisation dans un café, par exemple.
« Lorsqu’il est entraîné sur les frappes enregistrées par un téléphone à proximité, le classificateur atteint une précision de 95 pour cent, la plus élevée sans l’utilisation d’un modèle de langage », indique l’étude.
L’équipe l’a également testé avec les applications de télétravail Zoom et Skype, dont l’utilisation a considérablement augmenté dans les scénarios de travail hybrides. L’IA était précise à 93 pour cent lors de la surveillance des appels Zoom et à 92 pour cent avec Skype.
Le modèle enregistre les motifs et les différences de chaque frappe sur un clavier. Par exemple, la frappe de la lettre ‘k’ en minuscule sonne légèrement différente de celle de la lettre ‘K’ en majuscule (shift+K). Ces différences subtiles, associées à la synchronisation et à la proximité (volume des frappes), permettent à l’IA de faire des estimations éduquées des touches tapées.
Les chercheurs étudiants attribuent la capacité et la précision de l’IA aux progrès de la qualité des équipements d’enregistrement au cours de la dernière décennie et à l’augmentation du nombre de microphones à portée auditive des appareils informatiques dans les environnements contemporains.
La seule réserve est que sa précision diminue considérablement lors de l’analyse des frappes sur un clavier qui n’a pas fait partie de son entraînement, ce qui est tout à fait logique. Tous les claviers ne sont pas égaux, et chacun a un profil sonore unique. Bien sûr, un entraînement supplémentaire avec une grande variété de claviers et d’ordinateurs portables peut considérablement augmenter la précision du modèle avec le temps.
Les mesures d’atténuation de ce genre d’attaques sont limitées. Les chercheurs suggèrent principalement de varier votre style de frappe. Ils ont remarqué que la frappe tactile réduisait la précision du modèle de 40 à 64 pour cent. Avoir des mots de passe plus complexes aide également. L’équipe suggère que les mots de passe utilisant plusieurs changements de casse (majuscules et minuscules) ont tendance à perturber les estimations de l’IA.
L’étude n’a pas encore été examinée par des pairs, mais une version préliminaire intitulée « A Practical Deep Learning-Based Acoustic Side Channel Attack on Keyboards » est disponible sur arXiv de l’Université Cornell pour ceux qui souhaitent obtenir tous les détails.
Découvrez le reportage du mois (sous-titré en français), l’IA gagnera t-elle face aux champion du monde du jeu de Go ? :
