Avec l’aide de l’IA, des hackers peuvent voler vos mots de passe en vous écoutant les taper

Avec l’aide de l’IA, des hackers peuvent voler vos mots de passe en vous écoutant les taper. Comment fonctionnent ces attaques acoustiques ? Comment se protéger de ces attaques acoustiques ?

Vous pouvez tout faire bien en ce qui concerne vos mots de passe. Vous ne réutilisez pas vos mots de passe, vous ne cliquez pas sur les liens étranges, vous utilisez des adresses email temporaires, vous vous sentez protégé(e). Et pourtant… quoi ? Vous vous faites encore pirater des comptes ? Vous avez tapé votre mot de passe ? Quelle erreur !

Avec l’aide de l’IA, des hackers peuvent voler vos mots de passe en vous écoutant les taper

Comme le rapporte Bleeping Computer, des chercheurs sont parvenus à entraîner un modèle d’IA pour identifier des frappes spécifiques sur le clavier grâce au microphone intégré, que ce soit sur un ordinateur ou un smartphone piraté. Et le pire dans tout cela, c’est que le modèle que les chercheurs ont créé est capable de deviner le mot de passe saisi avec une précision de 95 %. Mais pas de panique, quand ils ont utilisé Zoom pour entraîner leur modèle, la précision a diminué à 93 %. Ouf, sauvé.

Ces “attaques acoustiques” sont une mauvaise nouvelle : un modèle IA comme celui-ci pourrait être déployé pour espionner les habitudes de frappe des gens et récupérer tout ce qui pourrait être sensible, dont les mots de passe. Imaginez ouvrir Slack, taper un message important à votre bosse, ouvrir le site de votre banque, saisir votre nom d’utilisateur et votre mot de passe pour vérifier votre compte en banque. Ce système d’IA pourrait récupérer 95 % de ce que vous saisissez, autrement dit, de la majorité de ce que vous tapez sur votre clavier.

Un hacker doit enregistrer pendant que vous tapez sur le clavier, autrement dit, il doit intercepter l’audio via votre ordinateur ou un autre appareil, comme votre smartphone. Une autre possibilité consiste à cibler un participant à un appel Zoom et analyser les bruits de ses frappes pour les faire correspondre à ce qui apparaît dans la conversation.

Comment les chercheurs ont-ils pu entraîner leur modèle pour identifier ces sons sur les touches du clavier ? Ils ont utilisé des ordinateurs d’une société qui se vante souvent de ses efforts en termes de sécurité et de confidentialité : Apple. Les chercheurs ont appuyé 25 fois chacune sur les 36 touches individuelles des nouveaux MacBook Pro et ont ensuite passer ces enregistrements dans un logiciel pour identifier les subtiles différences entre chaque touche. Il a fallu beaucoup de tentatives pour obtenir le résultat final, mais au bout du compte, les chercheurs ont pu identifier les frappes avec 95 % de précision lorsqu’ils écoutaient depuis un iPhone à proximité et 93 % avec la méthode Zoom.

La bonne nouvelle, c’est que ce modèle IA n’a été créé que pour la recherche, vous n’avez donc pas à vous inquiéter d’en être victime. Pas tout de suite, en tous les cas. En effet, si des chercheurs y sont parvenus, des hackers devraient y arriver d’ici peu.

Sachant cela, comment pouvez-vous vous en protéger ? Cette attaque ne fonctionne que si un microphone peut enregistrer vos frappes, ce qui signifie que votre ordinateur ou votre smartphone doit être compromis au préalable, ou alors, vous devez être dans un appel Zoom avec un hacker. Surveillez donc les permissions accordées au microphone de votre appareil et désactivez l’accès à la moindre app qui vous semble étrange ou qui n’en a pas besoin. Si vous voyez votre microphone actif alors qu’il ne devrait pas l’être, prudence !

Prenez aussi l’habitude de vous passer en muet quand vous ne parlez pas sur Zoom : c’est une bonne pratique en règle générale, mais celle-ci devient particulièrement utile si un hacker est présent. Si vous êtes muet(te) pendant que vous tapez vos messages, vos frappes ne pourront être utilisées contre vous.

Et pour éviter de vous faire pirater votre ordinateur ou votre smartphone, suivez les règles habituelles : ne cliquez pas sur les liens suspects, n’ouvrez pas les messages d’inconnus et ne téléchargez ou n’ouvrez rien d’étrange.

Les gestionnaires de mots de passe sont vos amis

Imaginons que vous êtes piraté(e) sans le savoir et que votre smartphone écoute vos frappes. C’est une très bonne pratique que d’utiliser un gestionnaire de mots de passe chaque fois que possible, a fortiori si celui-ci utilise la fonction de remplissage automatique. Si vous pouvez vous connecter avec un scanner du visage ou d’empreinte digitale, il n’y a pas de mot de passe tapé au clavier, donc pas de risque. Vous pouvez aussi utiliser un bruit blanc près de votre clavier, pour masquer le bruit des touches.