Les smartwatches et les wearables sont peut-être importants pour vous alerter sur le nombre de pas que vous avez fait dans la journée ou encore de vous inciter à marcher, mais il ne serait peut-être pas opportun de les porter lorsque vous saisissez un code PIN.
Un nouveau document intitulé « Friend or Foe?: Your Wearable Devices Reveal Your Personal PIN » montre que déchiffrer le code PIN de quelqu’un depuis un wearable n’est pas un processus compliqué, bien que le papier ne détaille pas spécifiquement les objets connectés (wearables) qui ont été utilisés.
Rédigé par des chercheurs du Stevens Institute of Technology et l’Université de Binghamton, le journal révèle que les hackers peuvent suivre au millimètre les distances et les directions des mouvements de la main grâce à des capteurs embarqués tels que des accéléromètres, des gyroscopes et des magnétomètres, dans le dispositif portable. En suivant les mouvements, les chercheurs ont pu « obtenir la distance de déplacement » de la main d’une personne, et ainsi déterminer les chiffres qui ont été saisis sur un clavier virtuel.
Insérer du « bruit » pour éviter ce problème
Ce procédé de rétro-ingénierie des capteurs du dispositif connecté a donc permis de détecter le code PIN saisi – cette méthode est appelée Backward PIN-Sequence Inference. Le groupe a testé plus de 5 000 saisies à partir de 20 adultes avec différents types de wearables. La technique a fourni une précision de 80 % sur un essai, et passant à 90 % avec trois essais.
Les hackers peuvent utiliser cette méthode de deux façons : en installant des logiciels malveillants directement sur l’appareil, ou en récupérant les données par la connexion Bluetooth faisant la liaison entre le dispositif connecté et le smartphone, selon la Phys.org.
Tout cela semble terriblement simple, mais les chercheurs proposent une solution pour les fabricants et les développeurs — insérer des « données de bruit » pour masquer les données sensibles. Cette solution semble incroyablement similaire à technologie Differential Privacy — un outil qu’Apple utilise dans iOS 10 pour sécuriser la collecte de données, tout en restant anonyme. Google a également eu recours à cette technique dans son navigateur Chrome depuis quelques années.