Des chercheurs britanniques ont réalisé la démonstration d'un modèle d'IA capable de reconnaître les frappes d'un clavier grâce à leur son. Sa précision est de l'ordre de 95 %.
Ces universitaires ne cherchent pas à prouver les capacités de l'IA dans le domaine acoustique. Il s'agit davantage d'alerter sur les dangers potentiels de tels modèles.
Une précision atteignant 95 % après un léger entraînement
Leur publication débute en rappelant qu'« avec les récents développements du deep learning, l'omniprésence des microphones dans les téléphones et l'essor des services en ligne, les attaques par canal acoustique présentent une menace plus grande que jamais pour les claviers. » L'objectif est bien de faire la démonstration de ce danger et de donner quelques pistes pour s'en protéger.
Le modèle énoncé dans l'étude a tout de même une limite : il doit pouvoir s'exercer sur le clavier ciblé avant d'être efficace. Pour un pirate, il faut d'abord un logiciel ou périphérique permettant d'en enregistrer les frappes. Dans leur démonstration, les chercheurs ont utilisé un smartphone et un MacBook Pro. Sur cet ordinateur, 36 touches ont été pressées 25 fois chacune et les sons émis ont été captés par le téléphone mobile.
Le modèle a alors pu établir des formes d'onde et des spectrogrammes permettant de visualiser les différences et les points communs à chaque frappe. À partir de ces données, le système pouvait désormais les reconnaître avec une précision de 95 %.
Mais il y a des alternatives. Avec le développement de la visioconférence suite à la pandémie de COVID-19, les chercheurs ont envisagé l'utilisation d'un logiciel tiers, comme Zoom ou Skype. Avec ces deux logiciels, le système conserve une précision respective de 93 % et 91,7 %.
Comment s'en protéger ? Quelques idées à retenir
Le danger est alors évident. Entre de mauvaises mains, ce modèle pourrait servir au vol de données, comme les mots de passe ou de simples conversations. En outre, ce genre d'attaques s'avèrerait plus simple suite à la distribution de microphones de grande qualité sur des dispositifs très différents.
Si les chercheurs n'ont pas de solution parfaite, ils émettent quelques pistes utiles pour réduire le risque d'une fuite de données. L'utilisation de mots de passe forts est évidemment recommandée. Mais l'utilisateur est incité à aller plus loin en utilisant des mots de passe générés aléatoirement, la présence de mots entiers augmentant le risque.
Si les auteurs ne le citent pas comme un moyen de défense à proprement parler, les modifications dans le style de frappe semblent aussi avoir de bons résultats. Cela peut passer par l'adoption de frappes « à l'aveugle » ou par l'utilisation de la touche Maj et d'un chiffre en remplacement du pavé numérique.
Dans le cas d'une utilisation sur Skype, il est aussi possible de diffuser de la musique ou d'altérer le son émis par l'utilisateur lors de sa conférence (par l'utilisation de bruit blanc, notamment). De ces deux solutions, les chercheurs estiment que la seconde reste la moins gênante. En revanche, ils affirment qu'il ne faudra pas compter sur les claviers silencieux ou sur l'ajout de réducteur de son. L'IA a aussi prouvé son efficacité face à ces solutions.
- Appels vocaux et vidéo gratuits entre utilisateurs de Skype.
- Traduction en temps réel pour des conversations dans différentes langues.
- Partage d'écran pour une collaboration efficace.
Source : Bleeping Computers
