Intéressante Proof of concept que celle rapportée par une équipe de l'Université de Pennsylvanie (Department of Computer Science and Engineering) : il est possible, avec un petit programme de type keylogger, d'utiliser les mouvements de votre smartphone pour aider à "cracker" vos mots de passe de sécurité.
Pour y parvenir, le programme de démonstration, nommé TapLogger et proposé sous Android, analyse les subtiles variations d'orientation, de position et d'accélération du smartphone lors d'une saisie. Grâces à ces variations dans les trois dimensions, le logiciel peut émettre des hypothèses sur la composition de vos mots de passe. Et avec un joli succès.
Ainsi, cracker un code PIN à 4 chiffres requiert plusieurs milliers de tests de combinaison en attaque force brute, nombre réduit à 81 avec l'utilisation de TapLogger. Avec un mot de passe plus complexe, de 6 chiffres, on passe d'un million de combinaisons possibles à 729, avec un taux de succès de l'ordre de 80 %.
Pour réaliser ces performances, le logiciel a cependant besoin de connaître les habitudes de l'utilisateur. Chacun tient et utilise son smartphone d'une manière plus ou moins spécifique. Pour y parvenir, le logiciel espion est associé à un petit jeu où l'utilisateur doit appuyer sur des icônes à l'écran, ceci permettant d'analyser ses habitudes et pratiques. Plus l'utilisateur joue, meilleures seront les prédictions.
Les chercheurs - Kun Bai et Sencun Zhu - estiment que ce type d'attaque est susceptible de se développer et que seuls des changements fondamentaux dans la structure des Os mobiles pourront l'empêcher. Selon eux, les données d'accélération, de position et d'inclinaison devraient être considérées comme privées.
Cette technique, visiblement, fonctionne avec Android, mais également Windows Phone. iOS n'est pas vulnérable à ce type d'attaque, à moins d'avoir été jailbreaké, précise Ars, qui rapporte l'information.
