Une nouvelle étude montre comment il serait possible d’utiliser un téléphone pour dupliquer une clé et ouvrir la porte d’une maison.
Nous avons l’habitude d’entendre parler de pirates informatiques accédant à nos téléphones, mais une nouvelle étude montre comment ils pourraient potentiellement utiliser leur téléphone pour accéder à nos maisons.
Les résultats proviennent de chercheurs du Département d’informatique de l’Université nationale de Singapour. Ils démontrent le fonctionnement de l’attaque en enregistrant le son d’une clé insérée dans une serrure. L’audio est ensuite vérifié pour la différence de temps entre les clics, qui est utilisée pour cartographier la taille et la forme d’une clé. Cela permet à un hacker de créer une copie physique précise sur une imprimante 3D.
L’attaque, baptisée SpiKey, a pu utiliser les sons pour réduire une base de données de 300 000 clés à seulement trois.
«Les serrures physiques sont l’un des mécanismes les plus répandus pour sécuriser des objets tels que les portes. Bien que bon nombre de ces serrures soient vulnérables au crochetage, elles sont encore largement utilisées car le crochetage nécessite une formation spécifique avec des instruments sur mesure et soulève facilement des soupçons », ont écrit les chercheurs.
« [SpiKey] abaisse considérablement la barre pour un attaquant en ne nécessitant que l’utilisation d’un micro de smartphone pour déduire la forme de la clé de la victime, à savoir les profondeurs de coupe, qui constituent le secret de la clé. »
Avant de commencer à chanter à haute voix chaque fois que vous verrouillez ou déverrouillez votre porte d’entrée pour couvrir les clics, il y a quelques facteurs à prendre en compte, le principal étant que la vitesse d’insertion de la clé doit rester constante pour que l’attaque fonctionne. Un attaquant doit également avoir connaissance du type de clé et de serrure utilisé, ce qui nécessiterait un examen physique de l’extérieur de ce dernier. De plus, le microphone doit être suffisamment proche pour capter les sons de cliquetis tout en traitant les interférences de bruit provenant d’autres sources, alors faites attention aux personnages suspects à proximité tenant un téléphone lors de l’ouverture de votre porte.
Les chercheurs suggèrent que l’attaque pourrait évoluer vers l’utilisation de logiciels malveillants installés sur le téléphone ou la montre intelligente d’une victime pour enregistrer les sons clés. Il pourrait également tirer parti des microphones longue distance ou des capteurs de porte avec des microphones pour mieux capturer les sons et sans éveiller les soupçons.
Aussi intéressant que soit SpiKey, sur la liste des «problèmes liés aux smartphones dont il faut s’inquiéter», il est probablement aussi préoccupant que Facebook prétendument enregistrer vos conversations pour des publicités ciblées.
