Une IA développée par des universitaires peut reconnaitre un mot de passe avec une grande précision simplement en écoutant le bruit que fait un clavier.
Si des hackers venaient à s’emparer de ce modèle d’IA développé par un collectif de chercheurs britanniques, ils seraient en mesure de s’approprier de nombreux mots de passe juste avec du son provenant d’un clavier. L’algorithme présente une grande précision dans ses résultats lorsqu’il enregistre les sons venant de Zoom ou d’un iPhone.
Des résultats obtenus avec le deep learning
Plusieurs chercheurs et chercheuses britanniques des universités de Durham, de Surrey et de la Royal Holloway University de Londres ont développé un modèle d’IA capable de reconnaitre les touches pressées sur un clavier simplement au son que ce dernier émet. Un modèle qui présente des résultats extrêmement précis, de l’ordre de 93 % de précision en utilisant la fonction « enregistrer » de Zoom et jusqu’à 95 % en enregistrant via un iPhone 13 Mini. Les résultats ont été publiés au début du mois dans un long article de recherche.
Pour parvenir à leurs fins, les chercheurs ont utilisé le procédé de deep learning. L’algorithme a ainsi été nourri aux sons que provoque un clavier de MacBook Pro 2021 de 16 pouces. Un appareil qui n’a pas été choisi au hasard puisque le design de son clavier ressemble beaucoup à celui d’autres MacBook récents. Ainsi, l’IA a pu apprendre le son précis qu’émet chaque touche, pour ensuite être capable de deviner les mots tapés au son.
Une menace sérieuse
Les auteurs de l’étude en profitent pour alerter sur la menace que représente un tel outil en termes de cybersécurité. Aujourd’hui, l’IA est de plus en plus évoluée, multipliant ses usages. Un état de fait qui, couplé au grand nombre d’appareils connectés que nous possédons désormais chez nous, peut provoquer de sérieuses failles. Il suffirait à des personnes mal intentionnées, en possession d’un tel outil, de pirater un système connecté en 5G ou en wifi pour s’introduire illégalement dedans.
L’étude précise que les mots de passe contenant des vrais mots sont plus vulnérables que les autres, qui contiennent une série de caractères aléatoires. Bien que pas infaillible, utiliser les touches tactiles pourrait faire baisser les risques, et ajouter un bruit de fond en plus limiterait grandement les possibles intrusions en trompant l’algorithme. Le style de frappe serait aussi à prendre en compte, tout comme le fait d’utiliser la touche « Maj », l’outil n’étant visiblement pas capable d’entendre quand celle-ci est relâchée.
Le but de cet article de recherche, selon Maryam Mehrnezhad, une des autrices qui répondait aux questions de Business Insider, est d’alerter notamment les communautés de cybersécurité afin de les pousser à réfléchir à des solutions permettant aux citoyens lambda d’utiliser les nouvelles technologies de manière sereine. Une étude qui joue également indirectement en faveur des passkeys, qui se veulent les remplaçants du mot de passe.
