Une nouvelle étude suggère que les pirates pourraient être en mesure de démêler un texte tapé juste en étudiant l’acoustique des touches grâce à un logiciel de chat vocal comme Skype
Ceux inquiets pour leur information personnelle qui fuite sur Internet peut déjà craindre un logiciel d’enregistrement de frappe, mais une nouvelle étude met en garde contre la frappe sur des touches tout en faisant un Skype. En analysant les signaux acoustiques de touches, les pirates peuvent être en mesure de démêler le texte dactylographié par le clic-clac d’un clavier lui-même, avec une précision alarmante de plus de 90 %.
Toute personne qui utilise un clavier régulièrement sait que les sons produits par des frappes diffèrent en fonction de la marque et du style d’appareil, mais avec une oreille attentive, les touches individuelles sur le même clavier produisent des signaux acoustiques uniques. Avec l’aide de certains algorithmes d’apprentissage machine et une compréhension du style de frappe de l’utilisateur, ces sons peuvent être suffisants pour un pirate afin de recréer de grandes sections de texte, mots de passe etc….
«Il est possible de construire un profil de l’émanation acoustique générée par chaque touche sur un clavier donné», explique Gene Tsudik, co-auteur de l’étude. « Par exemple, le T sur un MacBook Pro «sonne »différemment que la même lettre sur le produit d’un autre fabricant. Le R sonne aussi différemment d’un clavier à un autre, qui est juste à côté de T. »
Historiquement, cependant, ce genre d’écoute nécessitait que l’attaquant place physiquement un microphone à portée de voix du clavier de la victime, ce qui rendait la méthode largement impraticable. Maintenant, l’étude suggère de logiciels de voix sur IP comme Skype ou Google Hangouts rend potentiellement les choses beaucoup plus faciles. Si les utilisateurs lors d’un appel vocal arrivent à taper pendant la conversation, l’acoustique de frappe peut être enregistrée par d’autres participants de l’appel pour une analyse ultérieure.
Ceux qui utilisent Skype pour discuter avec des amis ou leur grand-mère de l’étranger pourraient ne pas être trop inquiets, mais ce n’est pas la seule utilisation de l’application.
« La chose intéressante est que les gens qui parlent sur Skype ne sont pas toujours des amis et ne disposent pas toujours d’un confiance mutuelle», assure Gene Tsudik. «Imaginez un appel entre des avocats de parties opposées lors d’une affaire juridique, des concurrents d’affaires ou des diplomates représentant différents pays. »
Armée de la connaissance du style et de la marque du clavier de saisie de la victime, l’étude a révélé qu’un pirate pourrait déterminer les clés individuelles pressées avec 91,7 % de précision. Mais peut-être plus inquiétant est la constatation que, même quand ils ne disposent pas de cette information, les frappes peuvent encore être comprisses dans près de 42 % du temps, grâce à la distribution de fréquence des lettres dans la langue anglaise.
Heureusement, seuls les claviers physiques et mécaniques présentent un risque. Comme ils ne produisent pas de son, les claviers tactiles des appareils mobiles et les claviers de projection laser peuvent être une option plus sûre.
https://news.uci.edu/research/typing-while-skyping-could-compromise-privacy/
https://arxiv.org/pdf/1609.09359.pdf