Objets connectés : quand les capteurs de mouvement peuvent trahir vos mots de passe et codes PIN

Le par  |  10 commentaire(s) Source : TechCrunch
clavier Microsoft android wear

Montres et bracelets connectés embarquent des capteurs de mouvement très utiles pour compter les pas et déclencher des interactions...mais aussi bien utiles pour deviner votre code PIN à qui sait les écouter.

Moto 360Les objets connectés portables, comme les bracelets connectés et smartwatches, permettent de suivre votre activité physique en comptant le nombre de pas ou d'effectuer un suivi de vos rythmes de sommeil en interprétant vos mouvements.

D'autres appareils médicalisés commencent à permettre d'aider les personnes souffrant de problèmes d'équilibre ou pour corriger des postures, après une opération, par exemple, afin de retrouver toute la mobilité initiale.

Les capteurs de mouvement embarqués (accéléromètres, gyroscopes) assurent une détection déjà très fine des mouvements et, portés au poignet, ils peuvent même se faire très indiscrets dans certains cas.


Vos mouvements peuvent trahir vos secrets
Ainsi, une étude de l'Université de Binghamton (Etat de New York), décrit une méthode qui permettrait de retrouver le code PIN d'un utilisateur par l'interprétation des mouvements du poignet à partir des données des capteurs de mouvement.

Et la méthode est plutôt efficace puisque, testée sur 5000 saisies réalisées par 20 personnes, elle a permis de retrouver le code PIN entré dans 80% des cas grâce à un algorithme spécifiquement développé pour analyser les données associées aux mouvements du poignet face à un clavier.

Il faut bien sûr pour cela avoir accès aux données brutes des capteurs des objets connectés mais les différentes études sur la sécurité des données personnelles dans les wearables suggère que cela n'est pas forcément très compliqué.

Un accès direct aux gadgets n'est même pas forcément nécessaire, un malware pouvant jouer les intermédiaires tout comme un système d'interception des paquets transmis en Bluetooth de l'objet connecté à son smartphone compagnon à proximité du clavier à espionner.


Pour vous protéger, faites du bruit !
Et il ne faudrait qu'un pas et un peu de raffinement de l'algorithme pour parvenir à deviner des mots de passe plus longs que les quelques chiffres d'un code PIN, font valoir les chercheurs. Parmi les moyens de défense, il suggère de taper le code PIN ou le mot de passe avec la main ne portant d'objet connecté ou encore de tromper l'écoute indiscrète par des mouvements désordonnés pour noyer les données intéressantes dans du bruit.

Côté fabricants, le renforcement de la sécurité des communications et de l'accès aux données des capteurs est bien sûr souhaitable, tandis qu'il reste possible là aussi d'ajouter du bruit et des artefacts au milieu des données pour empêcher leur interprétation sauvage.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1909404
Faut quand même chercher loin là ... pas sûr que ce soit fiable
Le #1909407
en fait si je comprend bien rien n'ai fiable et tout est ouvert a toute personne scrupuleuse , la modernisation nous fous plus dans la merde en faite , vas secoué un pignon pour qu'il te donne le mot passe tien
Le #1909416
Ah, ces gadget inutiles que sont les montres connectées
Le #1909418
Safirion a écrit :

Ah, ces gadget inutiles que sont les montres connectées


Et malheureusemet, ce n'est que le début...
Le #1909419
skynet a écrit :

Faut quand même chercher loin là ... pas sûr que ce soit fiable


D'après l'article 80%. Je suppose que les conditions étaient relativement plus idéales qu'en usage réel, mais quand même...
Le #1909420
avec le shuffle, ça fera un code.pour faire remarquer les gens
Le #1909422
boznake a écrit :

en fait si je comprend bien rien n'ai fiable et tout est ouvert a toute personne scrupuleuse , la modernisation nous fous plus dans la merde en faite , vas secoué un pignon pour qu'il te donne le mot passe tien


En fait ils produisent des trucs d'abord et s'occupent de la sécurité après
Le #1909436
skynet a écrit :

boznake a écrit :

en fait si je comprend bien rien n'ai fiable et tout est ouvert a toute personne scrupuleuse , la modernisation nous fous plus dans la merde en faite , vas secoué un pignon pour qu'il te donne le mot passe tien


En fait ils produisent des trucs d'abord et s'occupent de la sécurité après


C'est vrai, mais à leur décharge ils font ce que les crétins de clients demandent...
Dans une boîte avec laquelle j'ai travaillé, le budget sécurité c'était (pas dit comme ça mais c'était l'idée) : "0, tu inclus ça dans le temps de dev des features (lui-même bien compressé au possible)"
Le #1909459
bugmenot a écrit :

skynet a écrit :

Faut quand même chercher loin là ... pas sûr que ce soit fiable


D'après l'article 80%. Je suppose que les conditions étaient relativement plus idéales qu'en usage réel, mais quand même...


Oui c'est vrai que si on sait quand la personne va saisir un code PIN, on peut cibler la chose (du coup je pense que les 80% sont dans des conditions "optimales" pour le piratage, et qu'on sait quand un code est rentré).

Donc ça pourrait laisser de la marge... sauf si jamais les données de géolocalisation sont récupérées par le malware, et couplé avec le référencement des distributeurs automatiques par exemple, il devient beaucoup plus facile de savoir "quand" un code est saisi...
Le #1909519
On peut supposer que si les médias prennent connaissance d'un truc de ce genre qui semble balbutiant, les agences gouvernementales en sont probablement déjà plus loin
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]