Des Google Glass pour voler le code de verrouillage d'un iPad

La qualité des minuscules caméras des « wearables » est-elle suffisante pour capter des informations privées à l’insu de leur détenteur ? C’est qu’ont voulu savoir des chercheurs de l’université du Massachusetts à Lowell, qui ont utilisé des Google Glass et des Galaxy Gear pour observer le deverrouillage d’un iPad à 3 mètres de distance.

Ce genre d’exercice n’a rien de nouveau : il est plus facile de dissimuler des caméras autour d’un ordinateur que d’y installer un enregistreur de frappe. Mais alors que la plupart des techniques traditionnelles nécessitent une ligne de vue directe, les chercheurs de l’université du Massachusetts à Lowell peuvent travailler dans des conditions moins optimales. Un logiciel de leur création est en effet capable de modéliser la position de l’appareil et des doigts pour reconstituer la frappe.

Ils l’ont d’abord mis à l’épreuve avec une caméra Panasonic à 500 € : depuis une fenètre à 44 mètres de distance, ils arrivent à coup sûr à reconstituer le code protégeant le déverrouillage d’un iPad. Ils arrivent à la même précision avec un iPhone utilisé à 3 mètres de distance, et reconstituent le code dans 92 % des cas avec une webcam Logitech à 50 €. Mais ni l’iPhone ni la webcam ne sont particulièrement discrets.

Reste donc à savoir si dans des conditions similaires mais avec des capteurs de moins bonne qualité, les wearables peuvent rivaliser. Ce n’est pas loin d’être le cas : dans 83 % des cas, les vidéos issues de Google Glass leur ont permis de reconstituer le code, une proportion qui monte à 90 % avec des ajustements manuels. Que ces caméras qui se portent soient d’ores et déjà capables de fournir une vidéo de qualité suffisante pour permettre de reconstituer un code est préocupant, et elles sont appelées à se multiplier et à devenir de moins en moins visibles.

C’est donc la pertinence même des codes de protection qui est remise en cause — d’autant qu’un code complexe est reconstitué avec presque autant de fiabilité d’un simple code à quatre chiffres. Un clavier de déverouillage dont la position des touches change est une bonne parade, d’ailleurs utilisé pour certains systèmes d’authentification en ligne — les chercheurs en ont même développé un pour Android. Mais c’est peut-être du côté des systèmes biométriques comme Touch ID qu’il faut aller chercher une alternative plus fiable.