Brouiller contre les attaques de smudge

téléphoner

Crédit : CC0 Domaine public

Les plus soucieux de la sécurité d’entre nous utilisent un code PIN, un numéro d’identification personnel, pour « verrouiller » nos smartphones afin qu’en cas de perte ou de vol de l’appareil, un tiers ne puisse pas accéder à nos contacts, messages et autres informations détenues dans une myriade d’applications sans trop d’efforts pour deviner le code PIN.

Cependant, de nombreux appareils modernes qui contiennent nos informations personnelles et professionnelles sont à écran tactile et les pirates informatiques et les voleurs sont toujours ingénieux. Imaginez la scène où vous nettoyez l’écran de votre téléphone avant de taper votre code PIN pour accéder à vos e-mails, etc. Les taches laissées par vos doigts restent sur l’écran, marquant les numéros probables du clavier virtuel de votre téléphone que vous avez utilisé pour taper votre NIP.

Peu de temps après, le téléphone est perdu ou volé et ce tiers malveillant effectue une « attaque par smudge » : il regarde l’écran et peut deviner les chiffres de votre code PIN et les essayer dans diverses combinaisons assez rapidement. Il est beaucoup plus facile de forcer brutalement un code PIN à quatre chiffres si vous connaissez les quatre chiffres plutôt que d’avoir à essayer toutes les combinaisons possibles des chiffres 0 à 9, après tout !

Alors, comment éviter une attaque par smudge ? La réponse évidente est de nettoyer l’écran du téléphone plus fréquemment et immédiatement après avoir entré un code PIN, mais une approche moins « onéreuse » serait que l’appareil lui-même dispose d’un clavier aléatoire pour le déverrouillage. Dans un clavier brouillé, les chiffres de 0 à 9 seraient disposés différemment chaque fois que vous déverrouillerez votre téléphone, de sorte qu’il n’y aurait pas d’accumulation de vos touches fréquemment maculées et donc beaucoup moins de chances de réussir une attaque par maculage.

Pour le moment, un clavier brouillé n’est pas une fonctionnalité des appareils Android ni iOS. Un nouveau travail d’une équipe aux États-Unis publié dans l’International Journal of Information and Computer Security, montre comment un clavier brouillé pourrait être mis en œuvre pour protéger les smartphones contre les attaques par smudge. Geetika Kovelamudi, Bryan Watson, Jun Zheng et Srinivas Mukkamala du New Mexico Institute of Mining and Technology, à Socorro, ont réalisé une étude d’utilisabilité et de sécurité d’un clavier brouillé. Ils expliquent que cela fonctionne parfaitement pour se protéger des attaques de smudge. Le clavier brouillé réduit également le risque que quelqu’un glane illégalement votre code PIN en « surfant sur l’épaule » (en surveillant par-dessus votre épaule) pendant que vous appuyez dessus, car les chiffres du pavé 0 à 9 ne seront pas dans les endroits familiers pour que leur œil puisse vérifier rapidement que vous appuyez.

La mise en œuvre d’un bloc de brouillage nécessiterait très peu de codage supplémentaire pour le système de démarrage de l’appareil à écran tactile, mais offrirait un nouveau niveau de protection contre les attaques par smudge, un degré de protection contre les surfeurs sur les épaules et potentiellement une certaine protection contre les attaques par canal latéral.


Tromper l’œil pour vaincre les attaques de surf à l’épaule


Plus d’information:
Geetika Kovelamudi et al, Sur l’adoption du clavier brouillé pour le déverrouillage des smartphones protégés par code PIN, Journal international de l’information et de la sécurité informatique (2021). DOI : 10.1504 / IJICS.2021.115345

Citation: Scrambling against smudge attack (2021, 11 juin) récupéré le 11 juin 2021 sur https://techxplore.com/news/2021-06-scrambling-smudge.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.