Les caméras thermiques, avec l’aide de l’IA, peuvent être utilisées pour détecter les touches sur lesquelles vous appuyez lorsque vous saisissez votre mot de passe sur un clavier. Telle est la principale conclusion d’un nouvel article de recherche rédigé par une équipe de l’université de Glasgow, qui a étudié la manière dont l’IA peut améliorer l’analyse des images thermiques qui capturent la chaleur résiduelle laissée sur les touches du clavier après la frappe.
Les chercheurs ont mis au point un système appelé ThermoSecure, qui utilise une combinaison d’algorithmes de détection d’objets, de détection d’entrée de touche et d’ordre de frappe pour déduire des mots de passe à partir d’images thermiques. Ils ont testé ThermoSecure sur 1 500 images de claviers avec différents types de touches, de comportements de frappe et de longueurs de mots de passe.
Selon l’étude, ThermoSecure a obtenu des résultats impressionnants dans l’attaque des mots de passe à partir d’images thermiques. L’article indique que “ThermoSecure réussit à attaquer les mots de passe à 6 symboles, 8 symboles, 12 symboles et 16 symboles avec une précision moyenne de 92 %, 80 %, 71 % et 55 % respectivement, et une précision encore plus élevée lorsque les images thermiques sont prises dans les 30 secondes”.
L’article révèle également que le comportement de frappe a un impact significatif sur la vulnérabilité aux attaques thermiques : les utilisateurs qui saisissent lentement sont plus vulnérables que les utilisateurs plus rapides (92 % contre 83 % de réussite de l’attaque thermique).
Un autre facteur influençant le succès des attaques thermiques est le matériau de fabrication de touches. Les chercheurs ont constaté que l’acrylonitrile-butadiène-styrène (ABS), un plastique couramment utilisé pour les capuchons de touches, retenait davantage la chaleur que le polybutylène téréphtalate (PBT), un autre plastique utilisé pour les capuchons de touches. En conséquence, les attaques sur les touches clavier en ABS avaient une précision moyenne de 52 %, alors que celles sur les touches clavier en PBT n’avaient qu’une précision de 14 %.
Les chercheurs ont également noté que l’équipement nécessaire aux attaques thermiques était relativement bon marché et facile à utiliser. Ils ont utilisé une caméra thermique de base qui coûte environ 150 dollars et un logiciel d’intelligence artificielle basé sur Mask RCNN, qui est un framework populaire pour la détection d’objets. Le logiciel a été en mesure d’associer l’image thermique aux touches du clavier, en tenant compte de facteurs tels que la localisation du clavier. Il a ensuite détecté les entrées de touches et les appuis multiples, et a appliqué un algorithme pour déterminer l’ordre des appuis sur les touches.
L’article mentionne également que les claviers rétroéclairés peuvent réduire la vulnérabilité aux attaques thermiques, car ils émettent plus de chaleur et masquent les signatures thermiques des touches enfoncées.
Toutefois, des solutions peuvent être utilisées pour contrer cette technique de piratage telles que l’utilisation des gestionnaires de mots de passe (du moment que l’on ne capture pas le mot de passe principal), l’utilisation de l’option de connexion à deux facteurs ou la connexion par biométrie.
Source : ThermoSecure