Alors vous pensez avoir bien maîtrisé la sécurité numérique. Vous ne réutilisez pas les mots de passe ; vous ne cliquez pas sur des liens suspects ; vous utilisez peut-être même des adresses e-mail temporaires. Vous êtes invincible. Sauf que, oops, quoi ? Vous vous êtes quand même fait pirater ? Attendez, vous n’avez pas été en train de taper dernièrement, n’est-ce pas ? Erreur de débutant.
Comme le rapporte Bleeping Computer, des chercheurs ont réussi à entraîner un modèle d’IA pour identifier des frappes spécifiques sur des claviers en utilisant le microphone intégré d’un ordinateur ou d’un smartphone piraté. Le pire ? Le modèle que ces chercheurs ont créé peut deviner quelle touche a été pressée avec une précision de 95%. Ne vous inquiétez pas, cependant : lorsqu’ils ont utilisé Zoom pour entraîner le modèle, la précision est tombée à 93%. Nous sommes sauvés.
En toute honnêteté, il n’est pas difficile de comprendre pourquoi les « attaques acoustiques » sont de mauvaises nouvelles : un modèle d’IA comme celui-ci pourrait être déployé pour espionner les habitudes de frappe des gens et capter tout, depuis des informations sensibles jusqu’à des mots de passe. Imaginez ouvrir Slack, taper un message privilégié à votre patron, puis lancer le site Web de votre banque et taper votre nom d’utilisateur et votre mot de passe pour vérifier votre compte. Ce système d’IA pourrait capturer jusqu’à 95 % de cela, ce qui, à long terme, signifie qu’il agrège la grande majorité de ce que vous tapez.
Comment fonctionne cette (hypothétique) attaque acoustique ?
Pour commencer, un attaquant enregistrerait le son de votre frappe sur votre clavier, captant l’audio à travers votre ordinateur ou un autre appareil micro, comme votre smartphone. Une autre méthode consiste à cibler un membre d’un appel Zoom et à analyser les sons de sa frappe par rapport au message correspondant qui apparaît dans le chat.
Et comment les chercheurs ont-ils entraîné leur modèle à identifier ces sons spécifiques de clavier ? Eh bien, ils ont utilisé des ordinateurs de l’entreprise la plus susceptible de se vanter de sa confidentialité et sécurité : Apple. Les chercheurs ont appuyé sur 36 touches individuelles sur de nouveaux MacBook Pros un total de 25 fois chacune, puis ont traité les enregistrements à l’aide d’un logiciel pour identifier de minuscules différences entre chaque touche. Cela a nécessité quelques essais et erreurs pour obtenir le résultat final, mais après suffisamment de tests, les chercheurs ont pu identifier les frappes avec une précision de 95 % lors de l’enregistrement depuis un iPhone à proximité, et de 93 % en utilisant la méthode Zoom.
Comment se protéger contre les (encore une fois, hypothétiques) attaques acoustiques
La bonne nouvelle est que ce modèle d’IA particulier a été créé uniquement à des fins de recherche, donc vous n’avez pas à vous inquiéter de tomber dessus dans la nature. Cela dit, si les chercheurs ont pu le comprendre, les attaquants ne devraient pas être loin derrière.
Sachant cela, vous pouvez vous protéger en étant conscient du processus : cette attaque ne fonctionne que si un microphone enregistre vos frappes, ce qui signifie que votre ordinateur ou votre téléphone doivent avoir été piratés au préalable, ou que vous devez être sur un appel Zoom avec un attaquant. En tenant compte de cela, surveillez les autorisations de microphone de votre appareil et désactivez l’accès à toute application qui ne semble pas en avoir besoin. Si vous voyez que votre microphone est actif alors qu’il ne devrait pas l’être, c’est un signal d’alarme également.
Vous devriez également vous mettre en sourdine chaque fois que vous ne parlez pas activement lors d’un appel Zoom : c’est de toute façon une bonne pratique, mais c’est particulièrement utile s’il y a un attaquant dans l’appel. Si vous êtes en sourdine en tapant vos messages dans le chat, ils ne pourront pas l’utiliser contre vous.
Pour éviter d’être piraté en premier lieu, assurez-vous de suivre les conseils de sécurité habituels : ne cliquez pas sur des liens étranges, neouvrez pas de messages d’expéditeurs inconnus, et ne téléchargez ni n’ouvrez de fichiers dont vous n’êtes pas sûr.
Les gestionnaires de mots de passe sont vos amis
Cela dit, supposons que vous soyez piraté sans le savoir, et que votre téléphone écoute vos frappes. Il est judicieux de s’appuyer sur des gestionnaires de mots de passe chaque fois que cela est possible, en particulier ceux qui utilisent le remplissage automatique : si vous pouvez vous connecter à vos comptes avec un scan de visage ou un scan d’empreinte digitale, il n’y aura aucun mot de passe tapé dont il faut s’inquiéter. Vous pourriez également faire fonctionner un bruit blanc à proximité de vos appareils, de sorte que tout enregistrement sonore serait inutile.
