Des chercheurs de l’université de Glasgow ont travaillé sur les méthodes pour dérober un mot de passe avec une caméra thermique. On peut retrouver la combinaison dans 76 % des cas, 30 secondes après le passage de la personne.

On se rapproche ici d’un scénario de film d’espion, mais dites-vous que si les chercheurs travaillent dessus, les agents du renseignement y ont forcément songé aussi. Une équipe de l’université de Glasgow a publié une étude le 26 septembre sur les moyens pour dérober un mot de passe avec une caméra thermique. Des appareils de ce genre peuvent être vendus pour 300 euros sur les sites d’e-commerce. Nos doigts laissent une trace de chaleur à chaque fois qu’ils pianotent sur un clavier d’une température différente que celle de notre corps. En mesurant l’intensité relative des zones les plus chaudes, il est possible de déterminer les lettres, chiffres ou symboles spécifiques qui composent le mot de passe et d’estimer l’ordre dans lequel ils ont été utilisés.

Des recherches antérieures ont montré que des êtres humains peuvent déjà deviner par eux-mêmes les touches employées en examinant attentivement les images thermiques, prises entre 30 et 60 secondes après que les surfaces ont été touchées. L’équipe est allée plus loin en développant une intelligence artificielle pour devenir plus efficacement les combinaisons de codes.

Sur 1 500 images, ils ont découvert que l’IA était capable de révéler 86 % des mots de passe lorsque les images thermiques sont prises dans les 20 secondes, et 76 % dans les 30 secondes, tombant à 62 % après 60 secondes d’entrée.

Mohamed Khamis, de l’école d’informatique de l’université, déclare dans son rapport : « Ils disent qu’il faut penser comme un voleur pour attraper un voleur. Nous avons développé ThermoSecure en réfléchissant soigneusement à la manière dont les malfaiteurs pourraient exploiter les images thermiques pour s’introduire dans les ordinateurs et les smartphones ».

Une caméra thermique grand public à gauche et un résultat pris sur un smartphone. // Source : Numerama / Université de Stuttgart
Une caméra thermique grand public à gauche et un résultat pris sur un smartphone. // Source : Numerama / Université de Stuttgart

Des tests sur distributeurs et smartphones

Les recherches sur les images thermiques sont loin d’être nouvelles. Dès 2011, l’université de San Diego travaillait déjà sur les récupérations de code de carte de bancaire depuis un distributeur. Si l’analyse est réalisée dans les 30 secondes après la saisie sur le clavier, il y a 50 % de chances de récupérer la séquence. En 2017, une autre équipe a travaillé sur les tracés de déverrouillage des smartphones. Là aussi, les clichées permettaient de trouver 78 % des codes après 30 secondes.

Un mot de passe long et tapé rapidement aura moins de chance d’être deviné par un appareil. Aucun scénario d’un tel piratage n’a été répertorié, mais on préfère vous prévenir : si vous voyez quelqu’un se promener avec une caméra thermique, méfiez-vous !