Au Royaume-Uni, des scientifiques ont peut-être découvert une nouvelle faille à venir en matière de cybersécurité. Ils ont en effet élaboré une intelligence artificielle (IA) capable de pirater un mot de passe en « écoutant » les touches du clavier de l’utilisateur. Comment cela est-il possible ?
Une IA avec un taux de réussite impressionnant
Si les ransomwares représentent une menace réelle pour les entreprises et les particuliers, d’autres dangers guettent en permanence les usagers d’Internet. Dans une prépublication diffusée sur la plateforme arXiv le 2 août 2023, trois chercheurs britanniques affirment d’ailleurs avoir identifié une potentielle nouvelle menace pour les internautes. Ils expliquent en effet avoir mis au point une intelligence artificielle (ou plutôt un algorithme d’apprentissage profond) capable de déchiffrer un mot de passe d’une manière encore inédite. En effet, l’IA en question peut découvrir le mot de passe d’un utilisateur simplement en écoutant les bruits des touches sur le clavier.
Les chercheurs ont par ailleurs communiqué un étonnant taux de réussite de 95 %. Ce taux de réussite concerne les mots de passe dont le bruit des touches a été enregistré grâce à un iPhone se trouvant à environ 20 cm d’un MacBook de 2021. Ce même taux passe à 93 % lors de l’utilisation de la fonctionnalité d’enregistrement de l’application de visioconférence Zoom.
Des limites encore infranchissables
Dans leur publication, les scientifiques indiquent que le nom de leur algorithme est CoAtNet. Il a été alimenté à l’aide de spectrogrammes représentant le son de chaque touche du clavier. Après une période d’entraînement, l’IA s’est avérée capable de reconstituer le texte produit par la frappe des touches. Dans la réalité, le processus d’entraînement devrait être répété pour chaque type de clavier et pour chaque type de laptop. Cela représente donc une limite importante, tout comme le fait que l’IA éprouve des difficultés à savoir si la touche Shift (ou Maj) est pressée ou relâchée. Ainsi, du moins pour l’instant, l’IA est incapable de savoir si les lettres du mot de passe sont en minuscules ou majuscules ou s’il est question d’un chiffre ou d’un caractère spécial.
Malgré les limites exposées dans l’étude, ces recherches soulèvent la potentielle future existence d’un genre d’attaque que de nombreux observateurs craignent depuis plusieurs années. En effet, les Algebraic Side-Channel Attacks (ASCA) n’existent pas encore, faute de progrès suffisants. En attendant, la démocratisation des appareils équipés d’un microphone (smartphones, enceintes connectées, etc.) fait craindre le pire, car ils sont vulnérables face aux logiciels malveillants. Il en va de même pour l’augmentation des visioconférences en entreprise ou des livestreams sur des plateformes telles que Zoom et Twitch.
