Vous pensez avoir maîtrisé le sujet de la sécurité numérique. Vous ne réutilisez pas les mots de passe, vous ne cliquez pas sur les liens suspects, vous utilisez peut-être même des adresses e-mail temporaires. Vous êtes invincible. Mais, oops, qu’est-ce que c’est que ça ? Vous avez quand même été piraté ? Attendez, vous n’avez pas beaucoup tapé récemment, n’est-ce pas ? Erreur de débutant.
Des pirates qui vous écoutent
Selon Bleeping Computer, des chercheurs ont réussi à entraîner un modèle d’intelligence artificielle à identifier des frappes spécifiques sur un clavier en utilisant le microphone intégré d’un ordinateur ou d’un smartphone piraté. Le pire dans tout ça ? Le modèle créé par ces chercheurs peut deviner quelle touche a été pressée avec une précision de 95%. Mais ne vous inquiétez pas : lorsque le modèle a été entraîné avec Zoom, la précision est tombée à 93%. Nous sommes sauvés.
Plus sérieusement, il est facile de comprendre pourquoi les « attaques acoustiques » sont une mauvaise nouvelle : un tel modèle d’IA pourrait être utilisé pour espionner les habitudes de frappe des gens et recueillir toutes sortes d’informations sensibles, y compris les mots de passe.
Imaginez que vous ouvriez une application, que vous tapiez un message privilégié à votre patron, puis que vous accédiez au site web de votre banque et que vous saisissiez votre nom d’utilisateur et votre mot de passe pour consulter votre compte. Ce système d’IA pourrait capter jusqu’à 95% de ces informations, ce qui signifie qu’il enregistre la grande majorité de ce que vous tapez à long terme.
Comment fonctionne cette attaque acoustique ?
Pour commencer, un attaquant enregistrerait vos frappes sur votre clavier en captant le son via votre ordinateur ou un autre appareil doté d’un microphone, comme votre smartphone. Une autre méthode consiste à cibler un membre d’un appel Zoom et à analyser les sons de sa frappe pour les associer au message correspondant qui apparaît dans le chat.
Et comment les chercheurs ont-ils entraîné leur modèle à identifier ces sons de clavier spécifiques ? Eh bien, ils ont utilisé des ordinateurs de la société la plus susceptible de se vanter de sa confidentialité et de sa sécurité : Apple. Les chercheurs ont appuyé sur 36 touches individuelles sur de nouveaux MacBook Pros, 25 fois chacune, puis ils ont analysé les enregistrements à l’aide d’un logiciel afin d’identifier de légères différences entre chaque touche. Il a fallu quelques essais et erreurs pour obtenir le résultat final, mais après suffisamment de tests, les chercheurs ont pu identifier les frappes avec une précision de 95% lors d’un enregistrement à partir d’un iPhone à proximité, et de 93% en utilisant la méthode Zoom.
Comment se protéger contre les attaques acoustiques (encore une fois, hypothétiques) ?
La bonne nouvelle, c’est que ce modèle d’IA particulier a été créé uniquement à des fins de recherche, vous n’avez donc pas à craindre de le rencontrer dans la nature. Cela dit, si les chercheurs ont pu le mettre au point, les attaquants pourraient ne pas être loin derrière.
Sachant cela, vous pouvez vous protéger en étant conscient du processus : cette attaque ne fonctionne que si un microphone enregistre vos frappes, ce qui signifie que votre ordinateur ou votre téléphone doivent avoir été piratés au préalable, ou vous devez être dans un appel Zoom avec un attaquant. En conséquence, surveillez les autorisations du microphone de votre appareil et désactivez l’accès à toute application qui ne semble pas en avoir besoin. Si vous constatez que votre microphone est actif alors qu’il ne devrait pas l’être, c’est un signe d’alerte.
Vous devriez également vous mettre en sourdine chaque fois que vous ne parlez pas activement lors d’un appel Zoom : c’est une bonne pratique de toute façon, mais c’est particulièrement utile s’il y a un attaquant dans l’appel. Si vous êtes en sourdine pendant que vous tapez vos messages dans le chat, il ne pourra pas les utiliser contre vous.
Pour éviter d’être piraté en premier lieu, assurez-vous de suivre les conseils de sécurité habituels : ne cliquez pas sur des liens étranges, n’ouvrez pas de messages provenant d’expéditeurs inconnus et ne téléchargez pas et n’ouvrez pas de fichiers dont vous n’êtes pas sûr.
Les gestionnaires de mots de passe sont vos amis
Cela étant dit, supposons que vous êtes piraté sans le savoir et que votre téléphone enregistre vos frappes. Il est bon de se fier aux gestionnaires de mots de passe chaque fois que possible, en particulier ceux qui utilisent l’auto-remplissage : si vous pouvez vous connecter à vos comptes avec une reconnaissance faciale ou une empreinte digitale, il n’y aura aucun mot de passe saisi à craindre. Vous pouvez également diffuser du bruit blanc près de vos appareils, de sorte que tout enregistrement audio serait inutile.
Maintenant que vous êtes conscient de cette nouvelle menace, prenez les mesures nécessaires pour protéger votre confidentialité et votre sécurité numérique. Restez vigilant et utilisez les bonnes pratiques pour éviter de devenir une victime des attaques acoustiques.