Des chercheurs ont deviné un mot de passe sur un clavier grâce à une caméra thermique. La chaleur laissée par les doigts de l’utilisateur permet d’identifier les touches utilisées, et dans quel ordre. L’opération reste possible jusqu’à 1 minute après la saisie.
Code de vérification, code PIN bancaire ou encore mot de passe… Les cybercriminels peuvent utiliser la chaleur que vous laissez par contact tactile. Des chercheurs de l’université de Californie (Etats-Unis) ont reconstitué un mot de passe sur un clavier à l’aide d’une caméra thermique. Ils ont baptisé cette nouvelle forme d’attaque « Thermanator ».
Quelles touches et dans quel ordre
Une caméra de milieu de gamme permet de « capturer des touches enfoncées sur un clavier normal, jusqu’à une minute après que la victime les a entrées », explique Gene Tsudik, professeur d’informatique. Cette technique permet de récupérer de courtes chaînes de texte. Les pirates peuvent déterminer les touches ont servi, mais aussi dans quel ordre.
La dissipation thermique permet aux touches utilisées en premier de refroidir plus vite. Dans leur étude publiée le 10 juillet dernier, les chercheurs ont testé quatre claviers d’utilisation courante. Ils ont demandé à 30 volontaires d’entrer 10 mots de passe, en appuyant sur les touches plus ou moins fort pour reproduire différents comportements d’usagers.
30 secondes pour un résultat parfait
Dans les 30 premières secondes qui suivent la saisie du mot de passe, les chercheurs ont pu récupérer la combinaison de lettres tapée. Jusqu’à une minute après la saisie, la méthode permet de retenir quelques combinaisons. Selon les chercheurs, les utilisateurs qui saisissent une touche à la fois sont particulièrement vulnérables.
En revanche, une bonne maîtrise du clavier permet de brouiller ses traces, précise 01Net. Pour se prémunir de « Thermanator », les usagers peuvent porter des gants ou glisser leurs doigts sur les touches du clavier après saisie. Une dernière solution consiste à troquer son clavier en plastique contre un exemplaire en métal.