Une nouvelle attaque acoustique vole les données de frappe avec une précision de 95 %

 (bleepingcomputer.com)
7 points par GN⁺ 2023-08-06 | 1 commentaires | Partager sur WhatsApp
  • Une équipe de recherche britannique a développé un modèle de deep learning qui vole des données à partir des frappes au clavier via une attaque acoustique, avec une précision de 95 %.
  • La précision de ce modèle tombe à 93 % lorsque l’algorithme de classification sonore est entraîné à l’aide de Zoom, mais cela reste dangereusement élevé et constitue un niveau de précision record dans ce domaine.
  • Ce type d’attaque représente une menace majeure pour la sécurité des données, car il peut exposer des mots de passe, des conversations, des messages et d’autres informations sensibles à des tiers malveillants.
  • Contrairement à d’autres attaques par canal auxiliaire, qui nécessitent des conditions particulières et présentent des limites de débit de transmission et de distance, les attaques acoustiques sont devenues plus simples du fait de l’usage généralisé d’appareils équipés de microphones capables de capturer un son de haute qualité.
  • La première étape de l’attaque consiste à enregistrer les frappes du clavier de la cible, ce qui peut être fait via un microphone à proximité, le téléphone de la cible infecté par un logiciel malveillant, ou un appel Zoom.
  • Les chercheurs ont collecté des données d’entraînement en enregistrant le son produit lorsqu’ils appuyaient 25 fois sur chacune des 36 touches d’un MacBook Pro.
  • Les sons des frappes enregistrées ont été convertis en formes d’onde et en spectrogrammes, puis utilisés pour entraîner CoAtNet, un classificateur d’images.
  • Les chercheurs ont atteint une précision de 95 % avec des enregistrements sur smartphone, et de 93 % avec des enregistrements capturés via Zoom. Skype a affiché une précision plus faible, mais exploitable, de 91,7 %.
  • Pour réduire le risque des attaques acoustiques par canal auxiliaire, les utilisateurs peuvent modifier leur style de frappe, utiliser des mots de passe aléatoires, reproduire artificiellement des sons de frappe, utiliser du bruit blanc ou recourir à des filtres audio logiciels pour les frappes clavier.
  • Les chercheurs recommandent aussi, comme mesure supplémentaire, d’utiliser l’authentification biométrique lorsque c’est possible, et un gestionnaire de mots de passe afin d’éviter de saisir manuellement des informations sensibles.
  • Le modèle d’attaque s’est révélé très efficace même sur des claviers très silencieux. Cela indique qu’ajouter des amortisseurs sonores à un clavier mécanique ou passer à un clavier à membrane ne serait pas d’une grande aide.

À lire aussi

1 commentaires

 
GN⁺ 2023-08-06
Commentaires sur Hacker News
  • L’article explique qu’une nouvelle attaque acoustique peut voler des données de frappe avec une précision de 95 %.
  • L’expérience a été menée en utilisant le même ordinateur portable et le même microphone pour générer les données d’entraînement et de test.
  • Le modèle a été entraîné sur des données collectées via Zoom pour une attaque par canal auxiliaire réaliste.
  • Des questions sont soulevées quant à savoir si les caractéristiques acoustiques reconnues par le modèle correspondent à l’empreinte physique de chaque touche ou à des schémas de résonance dans le clavier ou l’ordinateur portable, et cela reste flou.
  • Les performances du modèle peuvent varier selon la force avec laquelle chaque touche est pressée et selon le type de clavier utilisé.
  • Cette avancée est importante du point de vue de la sécurité et de l’espionnage, car elle suggère que des micros indiscrets sensibles pourraient, de fait, fonctionner comme des keyloggers.
  • Certains logiciels de visioconférence, dont Zoom, peuvent atténuer la menace de cette attaque en supprimant les bruits de clavier de l’audio dans le cadre de leurs fonctions de réduction du bruit.
  • Des interrogations subsistent sur les performances du modèle pour des dactylos moyens ou rapides. L’illustration d’exemple montre une pression de touche toutes les 0,5 seconde, ce qui donne une idée du style de frappe.
  • L’article a suscité un intérêt pour les claviers sans fil utilisant une technologie qui ne nécessite ni batterie, ni recharge, ni synchronisation.
  • Certains lecteurs proposent d’utiliser des mots de passe à usage unique comme solution potentielle face à cette menace.
  • D’autres suggèrent, comme contre-mesure, d’injecter un bruit de fond de frappe dans les appels Zoom.