Sur votre ordinateur, vous avez bien sûr activé un mot de passe, protégeant l'ouverture de votre session utilisateur, vous avez chiffré le contenu de votre disque dur, à l'aide d'un second mot de passe et vous avez pris soin de retenir par coeur les identifiants de vos diverses identités numériques. Très bien ! Mais avez-vous pensé à éteindre votre smartphone ? Des chercheurs ont en effet montré que les accéléromètres cachés dans la totalité des smartphones récents étaient suffisamment sensibles pour analyser les mots frappés sur un clavier posé à leur côté.
Les chercheurs du Georgia Tech Information Security Center ont réalisé leurs premières expériences avec un iPhone 3 GS, mais la précision obtenue n'était pas suffisante. Le gyroscope intégré à l'iPhone 4 permet de grandement améliorer les résultats en supprimant du bruit sur le signal de l'accéléromètre.
Au final, le malware mis au point par les chercheurs détecte la position approximative des frappes sur le clavier (à gauche, à droite, au centre). Il analyse ensuite les frappes par paires, et compare la séquence obtenue à un dictionnaire de mots courants décomposés selon la même méthode. Avec un dictionnaire de 58 000 mots, la fiabilité de la reconnaissance est d'environ 80 %.
Faut-il alors jeter votre tout nouvel iPhone 4S/Galaxy S II/Nokia N9 à la poubelle ? Heureusement, non. Cette attaque nécessite de nombreuses conditions favorables. Il faut d'abord que l'utilisateur installe une application contenant le malware. Le smartphone doit ensuite être placé à une distance maximum de 7,5 cm du clavier au moment où les mots de passe sont entrés. Le bureau doit aussi être fait d'une matière propageant efficacement les vibrations (le verre ou le bois étant de bons candidats). Enfin, le niveau de vibrations ambiant doit être le plus bas possible : une grande route ou des travaux à proximité neutralise l'attaque.
Mais pour les chercheurs, la menace existe car l'accès des applications à l'accéléromètre et au gyroscope ne sont pas protégés. Ces capteurs n'étaient en effet pas considérés comme des failles potentielles, au contraire du microphone.
Quelques précisions supplémentaires sur la technique.
Le logiciel analyse 2 choses : l'éloignement sur le clavier entre 2 touches, et d'autres part la latéralisation de ces 2 touches sur le clavier (partie gauche ou partie droite).
Puis il associe à chaque "paire" de touche toutes ces informations ci-dessus. Il obtient alors un mot, qu'il va alors comparer avec les mots de son dictionnaires, lesquels ont tous été déjà encodés de cette façon.
J'ai lu ces infos dans le Journal de la Science (http://www.journaldelascience.fr/technologie/articles/spyphone-le-telephone-espion-qui-lit-vos-mails-en-dechiffrant-les-vibrations-du-clavier-2345)
Enfin, il faut noter que les travaux des chercheurs ont été faits sur des claviers qwerty et non azerty. En France, nous sommes donc protégés (pour l'instant) !
Bonne journée.