Les hackers n’ont qu’à regarder vos épaules bouger durant un Zoom pour deviner vos mots de passe

Une récente étude en cybersécurité a révélé une faille de sécurité sur Zoom. Les hackers peuvent deviner les mots de passe rien qu’en scrutant les mouvements l’épaule de l’utilisateur qui écrit le code pour entrer dans la réunion.

Concrètement, les experts ont utilisé un logiciel de chiffrement de vidéo. La technique atteignait un taux de précision de 75 % lorsqu’elle était soumise à des conditions de laboratoire. Cependant, la tâche pourrait s’avérer plus difficile dans un scénario réel.

Un clavier d'ordinateur
Crédits Pixabay

Évidemment, la prédiction, pour qu’elle soit exacte, doit prendre en compte de nombreux facteurs. Jusqu’ici, les tests réalisés étaient uniquement centrés sur des enregistrements de flux vidéo. Les chercheurs estiment que les résultats seraient plus fiables si les séquences intégraient à la fois des flux audio et vidéo.

Les chercheurs de l’Université du Texas et de l’Université de l’Oklahoma ont détaillé cette nouvelle méthode d’attaque informatique dans un article intitulé « Zoom on the Keystrokes: Exploiting Video Calls for Keystroke Inference Attacks ».

Une attaque par inférence de frappe

Le procédé consiste à déchiffrer ce qu’un utilisateur tape sur un clavier d’ordinateur en calculant les mouvements de son épaule. Ceux-ci sont en fait influencés par ceux de sa main et de ses doigts. « La force de réaction d’une frappe se propage légèrement et différemment à travers les muscles et articulations du bras et de l’épaule, selon le doigt utilisé pour appuyer sur la touche, » ont écrit les chercheurs dans l’article.

Pour le déchiffrement, ils se sont essentiellement basés sur la troisième loi du mouvement d’Isaac Newton. Il s’agit d’évaluer la force de réaction qui se produit en fonction et au cours de l’action. Par le biais d’un algorithme, la vidéo a été recoupée en plusieurs petites séquences. Ensuite, les résultats obtenus ont été traités par un logiciel spécifique. Ils ont réussi à saisir des données avec une étonnante précision.

Des conséquences potentiellement dangereuses

Comme l’indiquaient les chercheurs, « les attaques par inférence de frappe peuvent engendrer des conséquences potentiellement dangereuses, car le texte tapé peut souvent être de nature privée et peut même parfois contenir des informations sensibles, telles que des numéros de carte de crédit, des codes d’authentification et des adresses ».

Toutefois, le succès de cette nouvelle pratique dépend nécessairement d’une haute résolution de l’enregistrement vidéo, de l’éclairage ambiant et surtout des subtilités du mouvement de la cible au moment de la frappe.

Dans les faits, le logiciel fonctionne à la base d’un million d’exemples de mots de passe les plus courants. Par conséquent, il avait du mal à identifier, ou n’arrivait pas du tout à les déterminer, les mots de passe qui n’y sont pas inclus.