Pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter, inscrivez-vous gratuitement !

 

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Consultant informatique
    Inscrit en
    avril 2018
    Messages
    154
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2018
    Messages : 154
    Points : 5 484
    Points
    5 484

    Par défaut L’attaque Thermanator vole les mots de passe en lisant les résidus thermiques sur les claviers

    Thermanator : nouvelle forme d'attaque cybercriminelle de vol de mot de passe,
    qui exploite l’énergie thermique résiduelle laissée sur les claviers

    Les étudiants en Ph.D., Tyler Kaczmarek et Ercan Ozturk, de l'école de l’Information et des Sciences informatiques de Donald Bren de University of Carolina, Irvine, en collaboration avec Gene Tsudik, professeur en Informatique du Chancelier, ont découvert une nouvelle attaque cybercriminelle en exploitant des résidus thermiques laissés par les doigts au moment de la saisie au clavier. Les chercheurs ont nommé la nouvelle attaque « Thermanator ». En effet, nous laissons des fragments d’énergie sur chaque objet avec lequel nous entrons en contact.

    Thermanator est une nouvelle attaque interne post factum basée sur le transfert de chaleur causé par un utilisateur qui tape un mot de passe sur un clavier externe, selon le rapport d’étude sur arxiv. Et selon l’équipe de recherche, elle peut être utilisée pour récupérer de courtes chaînes de texte, qu'il s'agisse d'un code de vérification, d'un code PIN bancaire ou d'un mot de passe.

    Nom : Therm.PNG
Affichages : 2560
Taille : 297,4 Ko

    Après avoir utilisé un mot de passe sur un ordinateur à l’aide d’un clavier externe, le clavier de l’ordinateur ne présente pas de signes particuliers, il reste le même qu’avant. Mais cette nouvelle approche de récupération de l'énergie thermique peut éclairer les touches récemment pressées, indiquant ainsi les touches qui ont été utilisées pour entrer le mot de passe.

    « C'est une nouvelle attaque qui permet à une personne possédant une caméra thermique de milieu de gamme de capturer des touches enfoncées sur un clavier normal, jusqu'à une minute après que la victime les a entrées », explique Tsudik. « Si vous tapez votre mot de passe et que vous marchez ou que vous vous éloignez, quelqu'un peut en apprendre beaucoup à son sujet après le fait. »

    Il suffira donc à un attaquant de disposer d’une caméra à enregistrement thermique, et de filmer le clavier pendant qu’il présente encore les résidus d’énergie laissés par l’utilisateur. Par ailleurs, l’étude de l’équipe a détaillé les conditions dans lesquelles même un non-expert pourrait voler les données sensibles en l’occurrence un mot de passe saisie au clavier.

    Dans le cadre de l’étude, l’équipe a utilisé quatre claviers d’utilisation courante sur lesquels 30 utilisateurs ont entré 10 mots de passe forts comme faibles. L’équipe a, à chaque fois, recueilli les résidus thermiques sur les claviers. Les résultats obtenus sont sans appel. Dans les 30 premières secondes après la saisie du mot de passe, même des utilisateurs non experts pourraient récupérer des groupes entiers de touches utilisées, et jusqu’à 1 minute après l'entrée initiale, les ensembles partiels de touches pourraient être récupérés. De plus, selon les chercheurs, les utilisateurs qui saisissent une touche à la fois, selon la technique « Hunt-and-Peck », sont particulièrement vulnérables.

    Kaczmarek, Ozturk et Tsudik concluent que les « attaques thermiques » représentent une nouvelle menace crédible pour les systèmes basés sur les mots de passe. Ils proposent certaines stratégies pour éviter qu’un mot de passe soit volé par cette nouvelle attaque telle que glisser les mains sur le clavier après la saisie du mot de passe ou ne pas utiliser de clavier externe pour entrer les mots de passe.

    Source : Cornell University Library, arXiv

    Et vous ?

    Que pensez-vous de cette nouvelle d’attaque ?
    Selon vous, constitue-t-elle une réelle menace cybercriminelle ?

    Voir aussi

    Cybercriminalité : les outils gratuits de piratage sont une porte d'entrée pour les adolescents, 61 % des pirates auraient commencé avant 16 ans
    Lutte contre la cybercriminalité : la commission des libertés civiles, de la justice et des affaires intérieures donne des pistes
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre confirmé Avatar de Max Lothaire
    Homme Profil pro
    Étudiant
    Inscrit en
    mai 2014
    Messages
    132
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 25
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : mai 2014
    Messages : 132
    Points : 490
    Points
    490

    Par défaut

    C'est moi ou les touches les plus utilisées ici sont Z,Q,S,D (ou W,A,S,D) ? A part que le ou la propriétaire du clavier semble jouer plus que de travailler, qu'est-ce que sa révèle ?

  3. #3
    Responsable
    Office & Excel

    Avatar de Pierre Fauconnier
    Homme Profil pro
    Formateur et développeur informatique indépendant
    Inscrit en
    novembre 2003
    Messages
    12 750
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : Belgique

    Informations professionnelles :
    Activité : Formateur et développeur informatique indépendant
    Secteur : Enseignement

    Informations forums :
    Inscription : novembre 2003
    Messages : 12 750
    Points : 34 251
    Points
    34 251
    Billets dans le blog
    39

    Par défaut

    Perso, dans la minute qui suit la saisie de mon mot de passe au clavier, je bosse sur le pc, je ne vais pas boire un café
    "Plus les hommes seront éclairés, plus ils seront libres" (Voltaire)
    ---------------
    Mes remarques et critiques sont purement techniques. Ne les prenez jamais pour des attaques personnelles...
    Si je propose une solution générique sur votre solution spécifique, c'est parce que, fainéant de nature, je privilégie le réutilisable...
    Le VBA ne palliera jamais une mauvaise conception de classeur ou un manque de connaissances des outils natifs d'Excel...
    Vous souhaitez rédiger pour DVP? Contactez-moi
    VBA pour Excel? Pensez D'ABORD en EXCEL avant de penser en VBA...
    ---------------

  4. #4
    Membre éclairé Avatar de Drowan
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    juin 2014
    Messages
    350
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 23
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : juin 2014
    Messages : 350
    Points : 703
    Points
    703

    Par défaut

    ça à l'air tout de même inutilisable...
    1 minute après la saisie, on est sur le pc, on est pas partit se promener
    "On sera toujours mieux installé assis en 1ère que debout en 2nde", un illustre inconnu


    Avant de poser une question vérifiez si elle n'a pas déjà une réponse dans les cours et tutoriels
    Si votre problème est pensez à marquer la conversation comme telle
    Si un message est utile, pertinent, et/ou vous êtes d'accord avec, pensez à à l'inverse s'il est inutile, faux ou que vous n'êtes pas d'accord, pensez à

  5. #5
    Membre à l'essai
    Homme Profil pro
    Étudiant
    Inscrit en
    janvier 2018
    Messages
    6
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Tourisme - Loisirs

    Informations forums :
    Inscription : janvier 2018
    Messages : 6
    Points : 11
    Points
    11

    Par défaut

    En réfléchissant bien cette technique peut être extrêmement efficace si on a un complice pour attirer l'attention de la victime au bon moment.

  6. #6
    Membre actif
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2014
    Messages
    79
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : décembre 2014
    Messages : 79
    Points : 240
    Points
    240

    Par défaut

    C'est nouveau ? Le même procédé est utilisé dans le jeux vidéo Splinter Cell : Chaos Theory qui est sorti en ... 2005

  7. #7
    Candidat au Club
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    mai 2018
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Calvados (Basse Normandie)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Agroalimentaire - Agriculture

    Informations forums :
    Inscription : mai 2018
    Messages : 2
    Points : 4
    Points
    4

    Par défaut

    Citation Envoyé par Drowan Voir le message
    1 minute après la saisie, on est sur le pc, on est pas partit se promener
    sur un DAB, un TPE ou un digicode t'es plus devant une minute après

  8. #8
    Membre émérite
    Profil pro
    Inscrit en
    décembre 2003
    Messages
    1 221
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 1 221
    Points : 2 618
    Points
    2 618

    Par défaut

    pas inintéressant mais il me semble qu'il y a plus de potentiel sur des approches beaucoup moins volatiles : la sueur et les résidus organiques tel le sébum de la peau.

    Un clavier bien nettoyé, et on repérera aisément les touches qui auront servi à la saisie du mot de passe ou du code pin. Pas besoin de caméra thermique, un bon éclairage et un bon angle de vue.

    Dans le même genre, les écrans de téléphone ou de tablette qui permettent de deviner les schémas ou code pin utilisés très aisément.

    Donc :
    Après avoir utilisé un mot de passe sur un ordinateur à l’aide d’un clavier externe, le clavier de l’ordinateur ne présente pas de signes particuliers, il reste le même qu’avant.
    me parait être un postulat très très discutable, et très très utile à la démonstration

    Quand aux mots de passes, même avec cette méthode, la longueur reste un problème, et la répétition, la réutilisation de certaines touches va brouiller, compliquer la capacité à deviner la suite de caractères saisis. La longueur va augmenter le nombre de combinaisons possibles : 10 caractères c'est une factorielle de 10, 3 628 800 combinaisons différentes en faisant le pari que c'est bien 10 caractères différents qui composent le code. Sinon, bah il faudrait connaitre la longueur exacte du mdp, et en plus tester toutes les possibilités de permutation.

    En gros ça me parait un peu beaucoup bidon comme étude, bon moyen de faire parler de soi pour ces doctorants, mais un peu trop "Mission impossible"

    Les résultats obtenus sont sans appel. Dans les 30 premières secondes après la saisie du mot de passe, même des utilisateurs non experts pourraient récupérer des groupes entiers de touches utilisées, et jusqu’à 1 minute après l'entrée initiale, les ensembles partiels de touches pourraient être récupérés. De plus, selon les chercheurs, les utilisateurs qui saisissent une touche à la fois, selon la technique « Hunt-and-Peck », sont particulièrement vulnérables.
    Ok mais dans les faits, combien de mot de passes ont été réellement devinés ?

  9. #9
    Membre expérimenté

    Homme Profil pro
    Développeur informatique
    Inscrit en
    octobre 2013
    Messages
    487
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Conseil

    Informations forums :
    Inscription : octobre 2013
    Messages : 487
    Points : 1 302
    Points
    1 302

    Par défaut

    Je suis perplexe ça me parais dur à exploiter
    Car déjà ça donne pas l'ordre.
    Et en plus si on se trompe qu'on appuie sur supp ou retour arrière
    L'attaquant va le voir et se dire que c'est foutu
    Ce n'est pas rare de se tromper d'une touche et de la supprimer pour un mot de passe
    Même si on nous dit de tout retaper
    Et si on retape le mot de passe ça fausse tout
    Je veux bien que les hacker soient vicieux, que tout soit bon pour arriver à leurs buts

    Personnellement j'ai eu des cours de dactylo, alors je ne tape pas avec deux doigts.
    Et ça m'aide beaucoup

    J'ai les index sur les touches f les pucces sur espace et j et les autres doigts en permanence sur les touches voisines
    Alors j'ai laisse de la chaleur sur une bonne partie du clavier
    Alors
    Consultez mes articles sur l'accessibilité numérique :

    Comment rendre son application SWING accessible aux non voyants
    Créer des applications web accessibles à tous

    YES WE CAN BLANCHE !!!

    Rappelez-vous que Google est le plus grand aveugle d'Internet...
    Plus c'est accessible pour nous, plus c'est accessible pour lui,
    et meilleur sera votre score de référencement !

Discussions similaires

  1. [Sécurité] Question sur les mots de passes
    Par wallawalla dans le forum Sessions
    Réponses: 4
    Dernier message: 02/04/2007, 17h51
  2. Gérer les mots de passe
    Par Michel38 dans le forum Autres Logiciels
    Réponses: 4
    Dernier message: 30/03/2006, 10h49
  3. comment crypter les mots de passe?
    Par JauB dans le forum MS SQL-Server
    Réponses: 3
    Dernier message: 23/11/2005, 16h37
  4. cacher les mots de passes...
    Par youp_db dans le forum C
    Réponses: 7
    Dernier message: 21/10/2005, 00h06
  5. Le dossier qui stock les mots de passe
    Par cartonis dans le forum Sécurité
    Réponses: 21
    Dernier message: 17/08/2005, 12h49

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo