Pour obtenir le code PIN de déverrouillage d'un iPad, vous pouvez loucher par-dessus l'épaule de son utilisateur pour voir la combinaison entrée ou le faire de plus loin avec une caméra, pourvu que vous conserviez la vue sur l'écran.

Mais des chercheurs de l'Université de Massachusetts Lowell sont parvenus au même résultat avec les caméras embarquées de lunettes Google Glass ou de montres connectées Samsung sans avoir besoin de lire précisément ce qui est affiché à l'écran de l'iPad et ce d'une distance de 3 mètres environ...ou de plus de 40 mètres lorsqu'ils ont utilisé une caméra de bonne qualité.

iPad Air  Un logiciel se charge de deviner sur quels chiffres tape l'utilisateur en fonction du mouvement des doigts, de leur ombre portée à l'écran et de l'inclinaison de la tablette, et ce du fait que le clavier de déverrouillage occupe toujours la même disposition sur l'écran de l'iPad.

Il serait donc en principe possible de deviner le code PIN de déverrouillage simplement en captant avec une caméra le mouvement des doigts depuis de dispositifs de capture qui seront bientôt au coeur du quotidien.

Selon le professeur Xinwen Fu, qui compte présenter cette expérimentation avec ses étudiants lors de la conférence Black Hat du mois d'août : "tout ceci est une sorte d'avertissement par rapport aux Google Glass, aux montres connectés et tous ces appareils. Si quelqu'un peut prendre une vidéo de vous en train de taper à l'écran, vous perdez tout".

google-glass-white  De quoi aggraver encore l'image des Google Glass et des gadgets connectés comme des outils intrusifs pour la vie privée et conduisant parfois à des réactions hostiles, même si n'importe quel type de caméra peut convenir.

Les expérimentations réalisées ont permis de trouver le code PIN d'un iPad dans 83% des cas à trois mètres de distance avec la caméra des Google Glass ou d'une montre connectée Samsung, dans plus de 90% des cas avec une webcam et à tous les coups avec l'APN d'un iPhone.

Wired souligne que si des méthodes de vol du code PIN existent déjà, elles nécessitent un angle de vue direct de l'écran et sont souvent inefficaces dès que la distance augmente un peu. Par ailleurs, la méthode de Xinmen Fu fonctionne avec tous types de caméras et peut se faire en toute discrétion : "n'importe quelle caméra est suffisante, mais vous serez vite repérés si vous tenez votre iPhone par-dessus l'épaule de la victime. Les Google Glass étant déjà sur votre visage, elles sont parfaites pour ce type d'attaque sournoise", indique-t-il.

Et si l'expérimentation a été réalisée avec un iPad, la problématique concerne en fait le système de saisie du code PIN lui-même. Un système d'affichage aléatoire des chiffres du clavier serait déjà une première solution pour minimiser les risques.

Source : Wired