Une équipe de chercheurs britanniques a récemment formé un modèle d'apprentissage profond capable d'interpréter les frappes de clavier à distance en se basant uniquement sur l'audio.
En enregistrant les frappes de clavier pour entraîner le modèle, ils ont pu prédire avec une précision allant jusqu'à 95% ce qui était tapé sur le clavier. Cette précision est tombée à 93% lors de l'utilisation de Zoom pour former le système.
Selon cette nouvelle recherche, cela signifie que des informations sensibles telles que des mots de passe et des messages pourraient être interprétées par n'importe qui à portée d'oreille de quelqu'un tapant sur son ordinateur portable, que ce soit en les enregistrant en personne ou virtuellement via un appel vidéo.
Ces attaques dites acoustiques par canaux secondaires sont devenues beaucoup plus simples ces dernières années en raison de la prolifération d'appareils dotés de microphones, tels que les smartphones, capables de capturer un audio de haute qualité.
Associées aux progrès rapides de l'apprentissage automatique, cela rend ce type d'attaques réalisable et beaucoup plus dangereux que précédemment imaginé. Fondamentalement, il serait possible de pirater des informations sensibles armé de rien de plus qu'un microphone et d'un algorithme d'apprentissage automatique.
"L'ubiquité des ondes acoustiques du clavier en fait non seulement un vecteur d'attaque facilement disponible, mais incite également les victimes à sous-estimer leur sortie", ont déclaré les chercheurs. "Par exemple, lors de la saisie d'un mot de passe, les gens masqueront régulièrement leur écran mais feront peu pour assourdir leur clavier."
L'équipe a effectué le test en utilisant un MacBook Pro. Ils ont pressé 36 touches individuelles 25 fois chacune. Cela a servi de base pour que le modèle d'apprentissage automatique reconnaisse quel caractère est associé à quel son de frappe de touche.
Ces informations ont été enregistrées à la fois via un téléphone en proximité physique avec l'ordinateur portable et Zoom. Il y avait suffisamment de différences subtiles dans les formes d'ondes produites par l'enregistrement pour permettre la reconnaissance de chaque touche avec un degré de précision étonnant.
Pour éviter que quelqu'un ne pirate vos frappes de clavier, les chercheurs recommandent des changements de style de frappe, l'utilisation de mots de passe randomisés plutôt que de mots de passe contenant des mots complets, l'ajout de fausses frappes générées de manière aléatoire pour les attaques basées sur les appels vocaux, et l'utilisation d'outils biométriques, tels que la numérisation d'empreintes digitales ou faciale.
