Enregistrer votre frappe au clavier grâce au mouvement de votre montre connectée ? C'est possible.

Vous avez un mot de passe à 24 caractères composé de 4 mots qui n'ont rien à voir, vous chiffrez vos données et envoyez vos mails avec PGP ? Ce sont de bonnes pratiques, mais peut-être n'avez-vous pas fait attention au nouvel espion entré dans la maison : votre montre connectée et plus particulièrement, ce à quoi elle est reliée. Oui, votre bras. 

Une équipe de chercheurs de l'Université de l'Illinois a publié une preuve de concept plutôt inquiétante. Grâce à des lignes de code injectées dans une application, ils ont pu contrôler les capteurs de mouvement d'une Samsung Galaxy Gear Live et interpréter les mouvements reçus pour les convertir en frappes sur les touches d'un clavier. Les capteurs sont suffisamment précis pour que la position de votre bras lors de la frappe soit détectée. 

De là, il est très simple de recomposer des mots, comme vos précieux mots de passe. D'après eux, ce code malicieux pourrait être intégré dans une application aussi banale qu'un podomètre et transmettre en douce des informations aux développeurs. Une vidéo de démonstration a été tournée par les développeurs : 

 

 

Pour compléter la recherche, He Wang, membre du laboratoire, a annoncé qu'il était possible de contrer l'attaque en réduisant la sensibilité des capteurs. En n'enregistrant que 20 informations sur la position par seconde (au lieu de 200 à peu près actuellement), l'information serait trop vague pour détecter une chose aussi précise qu'une frappe sur un clavier, dont les touches ne sont séparées que de quelques millimètres. Comme avec tout nouvel objet, les failles existent, mais les bonnes pratiques restent à inventer et sont à la portée des constructeurs. 

Partager sur les réseaux sociaux

Plus de vidéos