Une étude réalisée par des chercheurs en cyber-sécurité de l’Université Ben Gourion du Néguev (BGU) a démontré qu’il était possible d’obtenir des informations personnelles sur les individus en traquant les interactions des doigts sur un écran tactile à partir de logiciels malveillants. Les grands noms de l’industrie font souvent appel à des sous-traitants qui fournissent un service, tel que le service après-vente. Concernant les écrans tactiles, les pièces de remplacement peuvent provenir de ce type de sous-traitants. Cependant, il a été démontré que des logiciels malveillants peuvent se cacher dans le code de ces pièces de rechanges.
L’objectif du Dr. Yossi Oren a été d’utiliser le machine learning, qui consiste en un programme d’intelligence artificielle capable d’apprendre automatiquement à partir des informations qu’il analyse. Cela concerne la conception, l’analyse, le développement et l’implémentation de méthodes permettant à une machine (au sens large) de remplir des tâches complexes à l’aide de moyens algorithmiques plus classiques.
Le Dr. Oren a présenté ses résultats lors du deuxième symposium international sur la cyber-sécurité, la cryptographie et le machine learning (CSCML), qui s’est déroulé les 21-22 juin 2018 à Beer-Sheva en Israël. Les résultats ont été publiés dans la revue scientifique Springer. L’équipe de chercheurs comprend les étudiants de premier cycle de BGU, Moran Azran, Niv Ben-Shabat et Tal Shkonik.
Cette analyse a été réalisée afin d’évaluer la quantité d’information que les hackers pourraient soutirer à partir de l’observation et de la prédiction de nos interactions avec nos écrans. Dans ce contexte, un hacker pourrait mettre au point des attaques plus spécifiques et efficaces. Par exemple, l’attaquant peut savoir quand il doit voler des informations à l’utilisateur ou « insérer » des touches malveillantes.
Pour quantifier les informations qui peuvent être obtenues en interagissant avec un écran tactile, le Dr. Yossi Oren et son équipe ont analysé les interactions d’un utilisateur classique : ils en ont ainsi enregistré plus de 160, exécutant différentes tâches dans des applications spécifiquement créées pour l’étude.
Plus précisément, les chercheurs ont conduit leur expérimentation sur un groupe de quarante étudiants de troisième année de BGU. Les sujets étaient tenus de remplir un questionnaire personnel comprenant des questions telles que l’âge, le sexe et la main tenant habituellement le téléphone portable, ainsi que la manière dont le sujet tient le téléphone portable (ex : à deux mains), la dernière fois qu’il a joué sur son téléphone portable ou encore la dernière fois qu’il a pris un café. De plus, on a demandé aux sujets s’ils connaissaient certains jeux.
Dans la deuxième étape de l’expérience, chaque sujet a été invité à enregistrer quatre sessions d’interactions tactiles différentes sur le téléphone de test. Tout d’abord, les sujets ont été invités à jouer au jeu Color Infinity. L’objectif de ce jeu est de passer une balle à travers divers obstacles. Le jeu entraîne des touches rapides et courtes sur l’écran. Ensuite, les sujets devaient jouer à un jeu appelé « Briques ». L’objectif de ce jeu est de déplacer les briques d’une certaine couleur au moment où la couleur de la brique change. Ce jeu induit des touches continues sur l’écran. Lorsque les sujets ont fini de jouer, ils ont été invités à lancer le navigateur web du téléphone et à effectuer une recherche sur internet en tapant le mot « Facebook » dans la barre de recherche du navigateur.
Enfin, les sujets ont été invités à rentrer dans une application e-mail sur le téléphone portable et à envoyer un e-mail comprenant un objet et une ligne de texte. Les chercheurs ont ensuite utilisé une méthode machine learning pour déterminer la vélocité, la durée et les intervalles de touche sur des téléphones LG Nexus Android spécialement modifiés. Selon les chercheurs, l’apprentissage de la machine a été capable de déterminer le contexte d’activité de l’utilisateur à partir des données tactiles fournies, avec un taux de prédiction de plus de 92% parmi les 4 contextes d’activité évalués. En utilisant cette analyse de façon défensive, les ingénieurs ou spécialistes de la cybersécurité pourraient être en mesure d’arrêter des attaques, en identifiant les anomalies dans l’utilisation typique d’un téléphone par un utilisateur et en prévenant l’utilisation non autorisée ou malveillante d’un téléphone.
Source : BGU
Rédacteur : Henri-Baptiste Marjault – henri.marjault@mail.huji.ac.il – doctorant à l’Université hébraïque de Jérusalem, pour le BVST