L'accéléromètre de votre smartphone est un espion potentiel
Sur votre ordinateur, vous avez bien sûr activé un mot de passe, protégeant l'ouverture de votre session utilisateur, vous avez chiffré le contenu de votre disque dur, à l'aide d'un second mot de passe et vous avez pris soin de retenir par coeur les identifiants de vos diverses identités numériques. Très bien ! Mais avez-vous pensé à éteindre votre smartphone ? Des chercheurs ont en effet montré que les accéléromètres cachés dans la totalité des smartphones récents étaient suffisamment sensibles pour analyser les mots frappés sur un clavier posé à leur côté.
Les chercheurs du Georgia Tech Information Security Center ont réalisé leurs premières expériences avec un iPhone 3 GS, mais la précision obtenue n'était pas suffisante. Le gyroscope intégré à l'iPhone 4 permet de grandement améliorer les résultats en supprimant du bruit sur le signal de l'accéléromètre.
Au final, le malware mis au point par les chercheurs détecte la position approximative des frappes sur le clavier (à gauche, à droite, au centre). Il analyse ensuite les frappes par paires, et compare la séquence obtenue à un dictionnaire de mots courants décomposés selon la même méthode. Avec un dictionnaire de 58 000 mots, la fiabilité de la reconnaissance est d'environ 80 %.
Faut-il alors jeter votre tout nouvel iPhone 4S/Galaxy S II/Nokia N9 à la poubelle ? Heureusement, non. Cette attaque nécessite de nombreuses conditions favorables. Il faut d'abord que l'utilisateur installe une application contenant le malware. Le smartphone doit ensuite être placé à une distance maximum de 7,5 cm du clavier au moment où les mots de passe sont entrés. Le bureau doit aussi être fait d'une matière propageant efficacement les vibrations (le verre ou le bois étant de bons candidats). Enfin, le niveau de vibrations ambiant doit être le plus bas possible : une grande route ou des travaux à proximité neutralise l'attaque.
Mais pour les chercheurs, la menace existe car l'accès des applications à l'accéléromètre et au gyroscope ne sont pas protégés. Ces capteurs n'étaient en effet pas considérés comme des failles potentielles, au contraire du microphone.
- Un dock pour disques durs connecté en Ethernet Gigabit
- iPhone 4 S : c'est bien Samsung qui produit son CPU
- TDJ : Corsair Obsidian 650D, NZXT Avatar S
- Intel : chiffre d’affaires et bénéfices records
- Tom’s Guide : les logos high-tech, c'était mieux avant
- Android CyanogenMod sur HP TouchPad : déjà l'Alpha 2
- Les bugs dans les lieux publics
- Android 4.0 Ice Cream Sandwich : l’OS qui a une âme
- Le Galaxy Nexus explose ses caractéristiques techniques
- La G1.Assassin 2 (X79) de Gigabyte se dévoile
- Les prix des disques durs attendus en hausse
- AMD confirme l’existence du Bulldozer B3
- AMD embauche un ancien d'Apple
- Windows 8 revoit ses fonctionnalités de recherches
- ASUS montre sa tablette Tegra 3 Transformer Prime
- TDJ : comparatif CPU, AMD Bulldozer
- Tom’s Guide : iPhone 4S, les réponses les plus drôles de Siri
- L’Europe approuve le rachat des disques durs Samsung par Seagate
3ème paragraphe :
Honnêtement, vous croyez que ça va inquiéter quelqu'un tout ça ? Parce que rien que les 7,5 cm de distance maximum en terrain favorable, ça fait beaucoup. Il faut travailler dans une boîte à chaussures ou utiliser son téléphone comme souris pour le mettre si près. Et il faut sûrement que le bureau soit bien rangé, car sinon il y aura des vibrations parasites...
tout est question d'algorithmes et de volonté de récolter les informations, y a pas de limite.
avec un bonne analyse automatisée et le recoupement de toutes les données gps des smartphone identifiés il est possible par exemple de sortir la liste de tous les époux infidèles, des travailleurs au noir, etc.
un smartphone c'est d'abord une boite à audit ... mais les conseils et les bénéfices ne vont pas à celui qui paye la boite et l'abonnement.
Ce qui est inquiétant c'est l'amélioration des résultats en une seule génération de smartphone. Ce qui laisse a penser que l'attaque sera réelement efficace dans peu de temps.
Bon ben il ne reste plus qu'a se payer un clavier à amortisseurs posé sur un bureau en mousse et poser son smartphone sur un jeu de "piqu'puces*" (oui je sais, c'est vieux ^^) lui-même posé dans une centrifugeuse qui se trouve à bonne distance du bureau. Ca devrais nous protéger pour les 5 prochaines années, après il faudrat trouver aut'chose.
* Qu'est-ce que c'était bruyant ce truc infernal !
je réuni déjà au moins deux des trois critères: Table en verre, smartphone posé à proximité du clavier... Pour le malware je ne sais pas... pour le coup j'ai éloigné le téléphone ^^
Rien de très nouveau, à part le fait d'y être parvenu. De telles techniques, on en connaît déjà la théorie, et c'est applicable absolument à tout : on peut récupérer les frappes sur un clavier sans fil, tout comme les mouvements d'une souris sans fil, avec un simple récepteur, ou même récupérer le rayonnement d'un écran CRT et après remise en forme récupérer l'image qu'il affiche, sachant que le tout est balancé dans toute la zone, et particulièrement bien porté par la tuyauterie... on peut détecter localement la présence d'une personne dès lors que le wifi ou le bluetooth de son téléphone sont activés... on peut analyser le fonctionnement d'un circuit de cryptage en récupérant le bruit électromagnétique...
Evidemment ça reste des attaques qui nécessitent de nombreuses conditions favorables, mais surtout d'avoir quelqu'un qui est capable de mettre ça en place, et qui nous en veut vraiment. On peut facilement pourrir la vie de n'importe qui avec des moyens pareils, mais ça demande des moyens, du temps, et de la volonté, et ça suffit pour qu'on en soit protégé.
Moi-même faudrait vraiment que j'en veuille à quelqu'un pour me lancer là-dedans... donc du coup, pas grand chose à craindre.
Aimame à tout-à-fait raison. C'est dingue ce que l'on peut faire de nos jours.
Pas étonnant que certains portent des chapeaux en alu et s'enduisent de sauce bolognese pour "leur" échapper. ^^
Euh, c'est Kenelm qui à raison, pardon. ^^
dans les conditions il manque aussi "poser le téléphone dans le bon sens".
bon, c'est bien, mais dans la pratique personne n'utilisera ce genre de fonctionnalité: beaucoup trop compliqué par rapport au social engeniering, keylogger, webcams, voir même force brute.
Ce qui est inquiétant c'est l'amélioration des résultats en une seule génération de smartphone. Ce qui laisse a penser que l'attaque sera réelement efficace dans peu de temps.
Enfin tu veux dire e, une génération d'iphone plutot non?
et si on éteignait le portable, tout simplement ? on serait tellement plus tranquilles
Reste plus qu'à savoir où utiliser le mot de passe obtenu... des milliers de sites web, parfois plusieurs mot de passe différents...
Oui enfin pour être à côté d'un chantier et suffisament pret pour "neutraliser l'attaque" faut le faire expret aussi ... genre être dehors !
Bonjour,
Quelques précisions supplémentaires sur la technique.
Le logiciel analyse 2 choses : l'éloignement sur le clavier entre 2 touches, et d'autres part la latéralisation de ces 2 touches sur le clavier (partie gauche ou partie droite).
Puis il associe à chaque "paire" de touche toutes ces informations ci-dessus. Il obtient alors un mot, qu'il va alors comparer avec les mots de son dictionnaires, lesquels ont tous été déjà encodés de cette façon.
J'ai lu ces infos dans le Journal de la Science (http://www.journaldelascience.fr/technologie/articles/spyphone-le-telephone-espion-qui-lit-vos-mails-en-dechiffrant-les-vibrations-du-clavier-2345)
Enfin, il faut noter que les travaux des chercheurs ont été faits sur des claviers qwerty et non azerty. En France, nous sommes donc protégés (pour l'instant) !
Bonne journée.
ah ouais, modifier le dico pour inverser trois touches A=Q, W=>Z, ;=>M, ca devrait leur prendre des mois...
Tout simplement changer de type de clavier dans la conf...