Des universitaires britanniques ont mis au point un modèle d'apprentissage automatique capable d'identifier les touches d'un clavier en fonction du son qu'elles produisent, ouvrant ainsi la voie à une nouvelle méthode de vol de données potentiellement inquiétante.
Des chercheurs des universités de Durham, de Surrey et de Royal Holloway à Londres ont élaboré une méthode de vol de données ingénieuse qui exploite le son des frappes de clavier. Leur étude, intitulée "Une attaque par canal auxiliaire acoustique sur les claviers basée sur l'apprentissage profond", explore en détail cette technique novatrice.
Ce modèle d'apprentissage automatique se révèle être une IA capable de capter et d'interpréter les frappes de clavier enregistrées via un microphone avec une précision impressionnante de 95 %. Son efficacité combinée à sa simplicité d'exécution en font une méthode potentiellement problématique pour la sécurité des données.
Cette technique exige que l'attaquant soit physiquement présent dans la même pièce que la victime. Une fois cette condition remplie, il peut utiliser un smartphone pour enregistrer le son des frappes sur le clavier de la cible. Les conséquences de cette attaque peuvent être dramatiques, car elle expose tous les types de données saisies, qu'il s'agisse de mots de passe, de discussions, d'e-mails ou d'autres informations sensibles. L'étude mentionne également la possibilité d'enregistrer les frappes de touches lors d'appels vidéo, où un participant malveillant peut corréler les sons enregistrés avec les messages tapés.
Pour former ce modèle d'IA, les chercheurs ont enregistré les sons générés par la frappe des touches d'un MacBook Pro moderne. En analysant ces données, ils ont pu identifier des différences distinctes pour chaque touche et appliquer des traitements pour renforcer les signaux utilisés pour l'identification des frappes.
Les chercheurs proposent quelques solutions pour prévenir ce type d'attaque. Ils suggèrent de modifier son style de frappe pour brouiller les sons enregistrés, d'utiliser un logiciel qui ajoute des bruits aléatoires de frappe de clavier, et idéalement, d'opter pour des méthodes de sécurité comme des passkeys ou des gestionnaires de mots de passe pour minimiser le besoin de saisir des données sensibles directement.
Cette nouvelle technique met en évidence l'importance continue d'innover en matière de cybersécurité pour contrer les menaces émergentes, même celles qui exploitent des canaux aussi inhabituels que le son des frappes de clavier.
