Comment les pirates utilisent les caméras thermiques pour voler des données personnelles
Les caméras thermiques sont utilisées dans l'industrie pour différents types de contrôles de qualité. Toutefois, les caméras thermiques disponibles dans le commerce peuvent également être utilisées à des fins criminelles. Des chercheurs de l'université de Glasgow ont élaboré des recommandations sur la manière de se protéger contre de telles "attaques thermiques".
Les caméras thermiques permettent de reconstituer et de lire les traces d'empreintes digitales sur des surfaces telles que les écrans de smartphones, les claviers d'ordinateurs ou les écrans tactiles des distributeurs automatiques de billets, c'est-à-dire partout où les utilisateurs sont invités à saisir un code PIN ou d'autres données personnelles. Les pirates peuvent donc utiliser l'intensité relative des traces de chaleur sur des surfaces récemment touchées pour reconstruire par exemple des mots de passe. Une équipe d'experts en sécurité informatique de l'université de Glasgow a maintenant élaboré une série de recommandations pour contrer ces "attaques thermiques" qui permettent de voler des données personnelles.
Craquer des mots de passe avec des caméras thermiques pratiques et l'IA
Mohamed Khamis, professeur à l'école de sciences informatiques de l'université de Glasgow, et ses collègues. Ils ont démontré la facilité avec laquelle les images thermiques peuvent être utilisées pour craquer des mots de passe. L'équipe a développé ThermoSecure, un système qui utilise l'intelligence artificielle (IA) pour scanner des images thermiques et deviner correctement les mots de passe en quelques secondes, avertissant ainsi un grand nombre de personnes du risque d'attaques thermiques. Sur cette base, l'équipe de recherche du Dr Khamis a dressé un aperçu complet des stratégies de sécurité informatique existantes et a interrogé les utilisateurs sur leurs préférences en matière de prévention des attaques thermiques sur les appareils de paiement publics tels que les distributeurs automatiques de billets ou les distributeurs de tickets.
Mesures contre les attaques thermiques
Les auteurs ont présenté les résultats de leurs recherches le 11 août 2023 à l'occasion de la conférence USENIX Security Symposium à Anaheim, en Californie. Le travail présenté contenait également des conseils aux fabricants sur la manière de rendre leurs appareils plus sûrs. L'équipe a identifié 15 approches différentes, décrites dans des recherches antérieures sur la sécurité informatique, qui pourraient réduire le risque d'attaques thermiques. Parmi ces approches figuraient des moyens de réduire le transfert de chaleur des mains des utilisateurs en portant des gants ou des protège-doigts en caoutchouc, ou de modifier la température des mains en touchant quelque chose de froid avant de taper. La littérature suggère également d'appuyer les mains contre des surfaces ou de souffler dessus afin de dissimuler la chaleur des empreintes digitales après la frappe.
D'autres propositions pour une sécurité accrue concernaient le matériel et les logiciels. Un élément chauffant placé derrière les surfaces pourrait effacer les traces de la chaleur des doigts, ou les surfaces pourraient être constituées de matériaux qui dissipent la chaleur plus rapidement. La sécurité sur les surfaces accessibles au public pourrait être renforcée par l'introduction d'un blindage physique qui recouvrirait les touches jusqu'à ce que la chaleur soit dissipée. Alternativement, la saisie par suivi du regard ou la sécurité biométrique pourraient réduire le risque d'attaques thermiques réussies.
Les utilisateurs souhaitent une authentification à deux facteurs
Après avoir étudié les mesures de sécurité existantes, l'équipe a mené une enquête en ligne auprès de 306 participants. L'objectif de l'enquête était de déterminer les préférences des utilisateurs parmi les stratégies identifiées par l'équipe et de leur demander leurs propres réflexions sur les mesures de sécurité qu'ils pourraient appliquer lorsqu'ils utilisent des appareils publics tels que les distributeurs de billets ou de tickets. Le Dr Mohamed Khamis, qui a dirigé cette étude, peut être cité comme suit : "Il s'agit de la première revue complète de la littérature sur les mesures de sécurité contre les attaques thermiques, et notre enquête a donné quelques résultats intéressants. Intuitivement, les utilisateurs ont suggéré certaines stratégies qui ne se trouvaient pas dans la littérature, comme par exemple attendre que l'environnement semble le plus sûr avant d'utiliser un distributeur automatique de billets. Ils se sont également prononcés en faveur de stratégies déjà connues, comme l'authentification à deux facteurs, car ils étaient conscients de leur efficacité. Nous avons également vu qu'ils prenaient en compte les questions liées à l'hygiène, ce qui a rendu la stratégie consistant à souffler sur les appareils pour masquer les traces de chaleur très impopulaire, et à la vie privée, que certains utilisateurs ont prise en considération lorsqu'ils ont envisagé des mesures de sécurité supplémentaires telles que la reconnaissance faciale ou d'empreintes digitales".
Le document se termine par des recommandations aux utilisateurs sur la manière de se protéger contre les attaques thermiques dans les lieux publics et aux fabricants d'appareils sur la manière dont les mesures de sécurité pourraient être intégrées dans les futures générations de matériel et de logiciels. Le professeur Karola Marky, co-auteur de l'étude et désormais professeur à l'université de la Ruhr à Bochum, mais encore post-doctorante dans l'équipe de Mohamed Khamis au moment de l'étude, conseille aux utilisateurs de faire attention à leur environnement lorsqu'ils saisissent des données sensibles en public, afin de s'assurer que personne ne les regarde, ou d'utiliser un établissement sécurisé comme une banque. "Lorsque cela n'est pas possible, nous recommandons de poser la paume des mains sur les appareils afin de masquer les traces de chaleur ou de porter des gants ou des protège-doigts lorsque cela est possible", explique le professeur Marky. "Nous conseillons en outre d'utiliser dans la mesure du possible une authentification à facteurs multiples, car elle protège contre toute une série d'attaques différentes, y compris les attaques thermiques, et de protéger tous les facteurs d'authentification autant que possible".
Les fabricants d'automates et de caméras thermiques également mis à contribution
Il est recommandé aux fabricants de distributeurs automatiques de billets ou de tickets de prendre en compte les possibilités d'attaques via des caméras thermiques portables dès la phase de conception. Les appareils devraient être équipés d'écrans physiques pour bloquer les surfaces pendant une courte période ou de claviers qui améliorent la confidentialité en changeant la disposition des touches après utilisation. Pour les appareils déjà en circulation, des mises à jour logicielles pourraient contribuer à rappeler aux utilisateurs de faire attention à leur environnement et de prendre des mesures pour éviter d'être observés par des caméras thermiques. "Notre dernière recommandation s'adresse aux fabricants de caméras thermiques, qui pourraient prévenir les attaques en intégrant de nouveaux verrous logiciels empêchant les caméras thermiques de prendre des photos de surfaces telles que les pavés PIN des distributeurs automatiques de billets", ajoute Mohamed Khamis. "Nous continuons à étudier les approches possibles pour réduire le risque d'attaques par imagerie thermique. Même si nous ne savons pas encore à quel point ces attaques contre les données personnelles sont actuellement répandues, il est important que les chercheurs en sécurité informatique suivent le rythme des risques que les caméras thermiques pourraient faire peser sur les données personnelles des utilisateurs, d'autant plus qu'elles sont désormais si bon marché et si répandues".
Source : Techexplore.com / Université de Glasgow
