Des chercheurs américains ont réussi à obtenir le code PIN d’un smartphone en observant les mouvements des yeux du possesseur de l’appareil.

Crédit photo : Flickr - helgabj
Crédit photo : Flickr – helgabj

Et si la méthode la plus “simple” pour obtenir le code PIN d’une personne était de tout simplement observer ses yeux lorsque celle-ci l’encode sur son appareil?

Le visage d’une vingtaine de possesseurs de smartphones, Android et iPhone confondus, a été filmé par les caméras des chercheurs des universités du Delaware et de l’Arizona au moment où ils tapaient leur code secret sur leur appareil. La vidéo a ensuite été analysée par des algorithmes pour déduire, à partir du suivi des mouvements des yeux, les mouvements qui ont été effectués avec les doigts. Les taux de réussite obtenus, de 39% pour un code PIN à quatre ou six chiffres et de 57% pour un schéma de déverrouillage, ne sont pas rassurants. Et il s’agit là d’une réussite dès le premier essai, le système parvenant à proposer cinq codes ou schémas potentiels à 65 à 70% de chance de réussite.

Cette attaque, nommée EyeTell par les chercheurs qui l’ont dévoilée lors de la conférence IEEE S&P de San Francisco, n’est pas si simple à mettre en place. L’enregistrement doit en effet se faire à une courte distance de la personne, avec un angle spécifique et une bonne luminosité. Le port de lunettes de soleil peut ainsi par exemple faire capoter la tentative de piratage…à moins d’être placé dans le bon angle de vue pour capter le reflet de l’écran dans les verres…

Le meilleur moyen de parer à ce nouveau type de piratage est d’opter pour l’authentification biométrique, qui possède néanmoins elle aussi ses failles…