Assiste.com
Attaque des mots de passe par keylogger acoustique
Attaque par keylogger acoustique : dispositif récupérant en clair des mots de passe saisis sur un clavier sur trouvant à 20 mètres dans une autre pièce.
cr 10.11.2009 r+ 05.11.2022 r- 27.04.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
|
Sécurité des mots de passe |
|---|
| Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
| Sommaire (montrer / masquer) |
|---|
Un Keylogger acoustique est un dispositif technique d'espionnage d'un appareil de manipulation de l'information.
Le 10 mai 2004, lors du 2004 IEEE Symposium on Security and Privacy, deux chercheurs d’IBM, Dmitri Asonov et Rakesh Agrawal ouvrent la session avec une communication : "Keyboard Acoustic Emanations". Ils prétendent qu'après une phase d'apprentissage où il faut frapper sur chaque touche du clavier une trentaine de fois, un micro ordinaire et un bon logiciel suffisent à enregistrer un texte tapé sur un clavier. Les taux de réussite de la reconnaissance des touches frappées au clavier frisent les 80%, soit des taux supérieurs aux taux de réussite des attaques TEMPEST (keyloggers électromagnétiques). Les changements de claviers ou les changements de dactylographe nécessitent une nouvelle phase d'apprentissage.
En novembre 2005, une nouvelle communication sur un Keylogger acoustique est faite par Li Zhuang, Feng Zhou et J. D. Tygar, lors de la "12th ACM Conference on Computer and Communications Security", dans "Keyboard Acoustic Emanations Revisited". Dans leur démonstration, ils se basent non pas sur une phase d'apprentissage préalable des bruits du clavier, mais sur un apprentissage en temps réel durant l'attaque avec essentiellement la répartition statistique des lettres dans la langue espionnée, appuyé par un correcteur lexical et par des outils utilisés en traitement du langage comme des automates de Markov à états cachés... Au bout de 10 minutes d'écoute, le taux de précision est de 90%.
Keylogger acoustique - Signal audio de la frappe d'une touche au clavier
La démonstration en a été faite en 2008 contre des mots de passe. Dans cette démonstration, le Keylogger acoustique a récupéré en clair des mots de passe tapés sur un clavier sur trouvant à 20 mètres de distance et dans une autre pièce !
C'est le LASEC (Laboratoire de Sécurité et de Cryptographie) de l'EPA (École Polytechnique Fédérale de Lausanne - Suisse), où enseigne Philippe Oechslin (à qui nous devons les Tables Arc en Ciel (Rainbow tables) pour décrypter les mots de passe cryptés), qui a travaillé sur le rayonnement acoustique des frappes de touches sur des claviers. Ce que ne montre pas la démonstration est qu'il faut une phase d'apprentissage au keylogger acoustique pour être opérationnel, ce qui rend son déploiement assez lent.
Les deux démonstrations suivantes de keylogger acoustique remontent à 2008.
Chargement... Keylogger acoustique - Démonstration 1 Compromising electromagnetic emanations of wired keyboards Martin Vuagnoux - Sylvain Pasini |
Chargement... Keylogger acoustique - Démonstration 2 Compromising electromagnetic emanations of wired keyboards Martin Vuagnoux - Sylvain Pasini |
La contre-mesure à un keylogger acoustique est assez simple. En cas de matériel traitant des données sensibles, mettre cet appareil dans une pièce anéchoïque ou dans un caisson anéchoïque. L'utilisation d'un clavier virtuel règle définitivement le problème acoustique, y compris si le micro est planqué dans l'épaisseur du bureau ou dans le clavier mécanique lui-même. Enfin, générer du bruit (écouter de la musique, par exemple), rend l'écoute très difficilement exploitable, voire inexploitable.
Keylogger acoustique - Contre-mesure - Chambre anéchoïque chez anechoique.com
Mots clés autour de cette attaque :
Acoustic Emanations
Émanations acoustiques
Voir le Dossier : Keylogger.
| Aidez Assiste – autorisez quelques publicités et cliquez-les |
Un Keylogger acoustique est un dispositif technique d'espionnage d'un appareil de manipulation de l'information.
Le 10 mai 2004, lors du 2004 IEEE Symposium on Security and Privacy, deux chercheurs d’IBM, Dmitri Asonov et Rakesh Agrawal ouvrent la session avec une communication : "Keyboard Acoustic Emanations". Ils prétendent qu'après une phase d'apprentissage où il faut frapper sur chaque touche du clavier une trentaine de fois, un micro ordinaire et un bon logiciel suffisent à enregistrer un texte tapé sur un clavier. Les taux de réussite de la reconnaissance des touches frappées au clavier frisent les 80%, soit des taux supérieurs aux taux de réussite des attaques TEMPEST (keyloggers électromagnétiques). Les changements de claviers ou les changements de dactylographe nécessitent une nouvelle phase d'apprentissage.
En novembre 2005, une nouvelle communication sur un Keylogger acoustique est faite par Li Zhuang, Feng Zhou et J. D. Tygar, lors de la "12th ACM Conference on Computer and Communications Security", dans "Keyboard Acoustic Emanations Revisited". Dans leur démonstration, ils se basent non pas sur une phase d'apprentissage préalable des bruits du clavier, mais sur un apprentissage en temps réel durant l'attaque avec essentiellement la répartition statistique des lettres dans la langue espionnée, appuyé par un correcteur lexical et par des outils utilisés en traitement du langage comme des automates de Markov à états cachés... Au bout de 10 minutes d'écoute, le taux de précision est de 90%.
Keylogger acoustique - Signal audio de la frappe d'une touche au clavier
La démonstration en a été faite en 2008 contre des mots de passe. Dans cette démonstration, le Keylogger acoustique a récupéré en clair des mots de passe tapés sur un clavier sur trouvant à 20 mètres de distance et dans une autre pièce !
C'est le LASEC (Laboratoire de Sécurité et de Cryptographie) de l'EPA (École Polytechnique Fédérale de Lausanne - Suisse), où enseigne Philippe Oechslin (à qui nous devons les Tables Arc en Ciel (Rainbow tables) pour décrypter les mots de passe cryptés), qui a travaillé sur le rayonnement acoustique des frappes de touches sur des claviers. Ce que ne montre pas la démonstration est qu'il faut une phase d'apprentissage au keylogger acoustique pour être opérationnel, ce qui rend son déploiement assez lent.
Les deux démonstrations suivantes de keylogger acoustique remontent à 2008.
Chargement... Keylogger acoustique - Démonstration 1 Compromising electromagnetic emanations of wired keyboards Martin Vuagnoux - Sylvain Pasini |
Chargement... Keylogger acoustique - Démonstration 2 Compromising electromagnetic emanations of wired keyboards Martin Vuagnoux - Sylvain Pasini |
La contre-mesure à un keylogger acoustique est assez simple. En cas de matériel traitant des données sensibles, mettre cet appareil dans une pièce anéchoïque ou dans un caisson anéchoïque. L'utilisation d'un clavier virtuel règle définitivement le problème acoustique, y compris si le micro est planqué dans l'épaisseur du bureau ou dans le clavier mécanique lui-même. Enfin, générer du bruit (écouter de la musique, par exemple), rend l'écoute très difficilement exploitable, voire inexploitable.
Keylogger acoustique - Contre-mesure - Chambre anéchoïque chez anechoique.com
Mots clés autour de cette attaque :
Acoustic Emanations
Émanations acoustiques
Voir le Dossier : Keylogger.
- Authentification faible d'un mot de passe
- Authentification forte d'un mot de passe
- Choisir un mot de passe
- Comment créer un mot de passe
- Comment créer un mot de passe compliqué simplement
- Création de mots de passe
- Évaluation d’un mot de passe
- Générateur de mots de passe
- Générateur de mots de passe aléatoires
- Générateur de mots de passe complexes
- Générateur de mots de passe forts
- Générateur de mots de passe incassables
- Générateur de mots de passe uniques
- Générateur gratuit de mots de passe
- Générer un mot de passe
- Générer un mot de passe compliqué
- Générer un mot de passe solide
- Générer un mot de passe solide simplement
- Gérer vos mots de passe
- Les conseils d'Assiste.com pour un bon mot de passe
- Mot de passe complexe
- Mot de passe faible
- Mot de passe fiable
- Mot de passe fort
- Password Check
- Quel est le niveau de force de mon mot de passe
- Quel est le niveau de sécurité de mon mot de passe
- Quel est le niveau de solidité de mon mot de passe
- Qu'est-ce qu'un mot de passe sécurisé
- Sécurisez vos mots de passe
- Test d’un mot de passe
- Test de solidité d’un mot de passe
- Testeur gratuit de mots de passe
- Vérification de la force d'un mot de passe
- Vérification de la solidité d'un mot de passe
- Vérification d'un mot de passe
Dossier (collection) : Keylogger |
|---|
Dossier : Keyloggers |
