Quand l'écran tactile trahit vos données privées

Par 23 août 2011
un keylogger pour les écrans tactiles. attention, danger !

Les mouvements de doigts sur les écrans tactiles des smartphones ou tablettes peuvent être captés par un logiciel espion. C'est ce qu'on démontré des chercheurs américains, pour mettre en évidence la faiblesse de ces équipements en matière de sécurité.

Des chercheurs de l'Université de Californie se sont penchés sur l’écran tactile du smartphone et de la tablette. Est-il vraiment étanche aux fuites numériques ? Il semblerait que non. Un récent programme Android mis au point par ces chercheurs et baptisé TouchLogger, parvient en effet à récolter correctement plus de 70% des touches saisies avec le doigt sur le clavier virtuel du terminal. Procédant à une cryptoanalyse side channel, il permet de capter des clés secrètes et donc de révéler des informations privées.

Des indices collatéraux

TouchLogger est un développement récent, soutenu par la fondation NSF (National Science Foundation). Il confirme la fragilité des combinés sous Android, au niveau de leur écran tactile. D’autres indicateurs peuvent s’avérer extrêmement dangereux au sein du smartphone : le capteur GPS, l’appareil photo-vidéo, le microphone ou le réseau Bluetooth sont d’ailleurs débrayés par défaut.
Mais lorsque les ondes acoustiques ou un rayonnement quelconque révèle une information saisie à l’insu de l’utilisateur, on parle d’indices collatéraux. Les chercheurs asiatiques et occidentaux explorent ces analyses spécifiques, depuis plus d’une décennie déjà. TouchLogger resserre son terrain d’exploration sur l’écran tactile du téléphone mobile ou de la tablette numérique.

Une extraction d’événements

Une fois installé sur le terminal de la victime (via un simple lien Internet proposé par e-mail, par exemple), le logiciel TouchLogger surveille les capteurs de déplacement de doigts sur l’écran tactile. Il traque ainsi toutes les interactions de l’utilisateur avec les services exploitant le clavier virtuel. Ces événements se produisent en utilisant des applications locales ou distantes, comme la consultation d’un compte via Internet, par exemple.
Selon la rotation du terminal, les touches d’une langue se trouvent toujours au même emplacement. Après plusieurs expérimentations, les programmeurs de TouchLogger ont finalement soumis les signaux de déplacement de doigts recueillis et les touches correspondantes à une base de données. Une fois cette phase d’apprentissage effectuée, ils ont pu établir un algorithme de probabilités valable pour toutes captations ultérieures. Cette simple classification a pu aboutir en quelques jours à un taux de réussite supérieur à 70%, lorsque l’écran est orienté en mode paysage.

Mentions légales © L’Atelier BNP Paribas