Deux chercheurs en sécurité informatique du Lasec (Security and Cryprography Laboratory), à l'EPFL (École polytechnique fédérale de Lausanne), viennent de montrer qu'il est vraiment très facile d'espionner à distance un clavier ordinaire, filaire. Selon la taille et la sophistication de l'antenne utilisée, jusqu'à une distance de 20 mètres. Y compris, bien sûr, à travers un mur. Le sujet n'est pas neuf, mais ces travaux remettent les pendules à l'heure.
Car il n'est pas nécessaire qu'un bidule soit « sans-fil » pour qu'il émette des rayonnements électromagnétiques, autrement dit des ondes. Sans le faire exprès. En fait, tous les claviers avec fil du commerce en émettent. Au point qu'il suffit d'une antenne, d'une électronique et d'un logiciel ad hoc pour y retrouver de quoi identifier chaque caractère tapé au clavier.
Martin Vuagnoux et Sylvain Pasini ont testé quatre techniques d'attaque différentes, sur onze claviers du commerce, d'époques variées. Ils ont réussi à espionner chacun d'entre eux à l'aide de l'une au moins de ces quatre méthodes. Deux vidéos (désolé, en anglais) montrent respectivement une attaque réalisée à un mètre de distance avec une antenne simplette : (voir la vidéo)
Et une autre de loin à travers un mur, via une antenne plus sophistiquée : (voir la vidéo)
Conséquence : tout ce que vous tapez sur votre clavier peut être écouté depuis une camionnette stationnée de l'autre côté de la rue. Lorsque vous tapez votre mot de passe sur le clavier d'un distributeur de billets : idem.
Voici une nouvelle comme je les aime, du genre qui montre où sont les vrais problèmes. Pour vous protéger contre Big Brother, vous chiffrez vos communications sur Internet ? On peut vous écouter en amont, chez vous. Vous évitez les claviers sans fil, parce qu'ils émettent des ondes ? Votre clavier filaire aussi.
(Via Slashdot)
En partenariat avec :
102
(Pour réagir, connectez-vous)
De Isaac Tanguy
Chercheur | 12H50 | 28/10/2008 |
C'est aussi facile quand il y a du « bruit » ? Par exemple, lorsqu'il y a une dizaine d'ordinateur dans le batiment ?
Comment qu'on fait pour s'en protéger ? Une sorte de cage de Faraday ?
De DBL8
Retraité | 13H04 | 28/10/2008 |
La cage de faraday protège des ondes, elle n'empêche pas la diffusion du bruit.
Pour les codes, vous pouvez utilisez le clavier virtuel ; comme ça pas de transmission de quoi que ce soit.
à DBL8
De CrocMignon
Fan de Carla et fane de carotte | 13H16 | 28/10/2008 |
Ce serait peut-être bien de préciser pour les mal-informatisants ce qu'est un clavier virtuel, comment y avoir accès et comment s'en servir…
à CrocMignon
De r_v
13H28 | 28/10/2008 |
En gros un clavier virtuel est un clavier qui s'affiche sur votre ecran, avec le mulot vous cliquez sur les touches que vous voulez…et voila.
Pour plus d'info, RTFM soit (pour les windowsiens) demarrer>aide>rechercher et taper clavier virtuel…
à r_v
De Jovan
Nouille Orquee | 13H38 | 28/10/2008 |
Je ne sais pas si ca a un lien ou pas, mais de plus en plus de dispenseur de billets aux US sont sans clavier. Tout est a taper sur l'ecran.
à Jovan
De blams
| 17H29 | 28/10/2008 |
Je ne pense pas. Ca fait longtemps que les services secrets et autres organismes peuvent « capter » les ondes électro-magnétiques passant dans les cables des ecrans et restituer l'image sur un autre écran.
Pour plus d'infos, jettes un oeil ici : http://www.pcinpact.com/actu/news/46865-suisse-piratage-ultime-clavier-f…
à Jovan
De pierrejcallard
www.nouvellesociete.org | 16H07 | 29/10/2008 |
Mais les machines a voter Diebold peuvent etre modifier a distance. Rassurant, n'est-ce pas ?
http://www.centpapiers.com/Diebold-vole-les-elections,4116
http://nouvellesociete.org/5139.html
Pierre JC Allard
à CrocMignon
De RilaX
13H30 | 28/10/2008 |
Sous windows :
Menu Demarrer -> (Tous les) Programmes -> Accessoires -> accéssibilité -> Clavier Visuel
à RilaX
De rilax13
14H55 | 28/10/2008 |
ro l'autre mon pseudo : )
un clavier virtuel à un intéret que si les touches sont affichées de façon aléatoire, sinon on peut faire une analyse de ce qui est cliqué : position etc, et par conséquent retrouver un code.
faut être un peu plus parano que ça pour vraiment vraiment se sécuriser. et puis bon un système internet est à la base completement nul d'un point de vue sécurité, faut se rendre à l'évidence, et accepter les risques ou bien faire autrement.
à CrocMignon
De rilax13
14H51 | 28/10/2008 |
on peut lire les écrans aussi.. à distance en analysant les champs magnétiques.. du moins tout ce qui est cathodique. la technique pour les dalles plates je ne connais pas, mais bon ça doit bien pouvoir ce faire aussi..
solution : bâtiment isolé phonétiquement/magnétiquement/pas d'internet. une salle blanche quoi. ça existe dans certaines boites qui touchent aux très sensibles (française de jeux style pmu (très sensible j'ai dis ; -) ) et aussi pour tout ce qui est développement de systèmes classé secret défense (enfin en théorie))
à rilax13
De sarkophage_xyz
15H39 | 28/10/2008 |
Isolation magnétique, je demande à voir, j'ai eu l'occasion d'aller dans une salle super isolée avec du cuivre tout autour pour empêcher de telles ondes de passer, on y recevait trés bien la FM !
à sarkophage_xyz
De rilax13
17H22 | 28/10/2008 |
les mauvais ; -) c'est possible de s'isoler relativement correctement normalement..
à DBL8
De Dadavid
14H08 | 28/10/2008 |
Il ne parle pas de bruit dans le sens son audible, mais en tant que multitude de signaux qui rendrait difficile la reconnaissance d'un signal particulier.
Le bruit des touches n'ont rien avoir la dedans.
Sinon, on peut imaginer la même chose avec un clavier virtuel : il suffit d'écouter la souris cette fois ci. C'est certes bien plus complique, mais c'est possible.
à Isaac Tanguy
De watashi_baka
... | 16H34 | 28/10/2008 |
Pour la cage de Faraday, il suffit d'un peu de papier alu autour des cables ( l'ideal serait de passer aussi le clavier et l'ordinateur).
En ce qui concerne les clavier virtuel je ne suis pas du tout convaincus de leurs apport en terme de securite. En particulier a cause du risque d'une personne qui passe derriere l'ecran au meme moment,
Par contre le systeme d'authentificiation utilise par les impots ( avec un certificat de securite unique pour chaque personne + un mot de passe / Ceux qui declarent en ligne voient de quoi je parle) me semble beaucoup plus fiable. Par contre c'est vrai que c'est plus compexe pour l'utilisateur final mais on peu pas avoir le beure et l'argent du beure.
à watashi_baka
De DBL8
Retraité | 19H28 | 28/10/2008 |
La vache… vous ne devez pas dormir toutes les nuits ! !
Vous arrivez à sortir de chez vous ?
Faites attention, quelqu'un est derrière vous et vous surveille par l'intermédiaire de caméra dans la lampe et pensez aussi au micros.
NON, sérieux, la STASI c'est fini !
à DBL8
De Dadavid
00H21 | 29/10/2008 |
Parce que la technique exposé ici est différente ?
Le social engineering est bien plus facile, rapide et efficace. Si un intrus utilise un système comme celui présenté dans l'article pour avoir accès a des donnes sensibles, sa ne serai qu'un outil de plus a son attirail, il lui suffirait aussi bien de faire les poubelles, écouter les discutions au café d'à coté, ou tout juste de rentrer dans le bureau.
En sécurité, la chaine est aussi solide que son maillon le plus faible. Et le plus faible, c'est généralement nous autre utilisateurs. Combien de fois j'ai vu des mot de passes sur un post it a coté de l'ecran.
Et oui, ca se fait dans la vrais vie… La boite pour laquelle je travaille c'est fait attaqué il y a 2 mois grâce a des informations récupérés via social engineering. Heureusement qu'on a des responsable réseau pour regarder les logs afin de s'apercevoir des différentes tentatives d'intrusion, pouvoir remonter jusqu'au responsable et contacter la police.
Les keylogers sont surtout une façon d'automatiser la recherche a distance. Utiliser un clavier virtuel aura aussi ses limites si la souris est aussi loggé…
La meilleur solution pour un particulier est d'avoir un antivirus et antispyware a jour et de scanner fréquemment. Et avoir des vrais mots de passe illisible et des questions de securité autre que le nom du chien ou le nom de jeune fille.
à DBL8
De lizbeth25
professeur | 19H14 | 29/10/2008 |
DBL, je vous jure : vous n'avez pas idée de ce que certains font avec ce matériel, et d'autres plus sophistiqués, pas encore commercialisés.
De supprimé à la demande du riverain 23 mars
x | 12H55 | 28/10/2008 |
Si je ne me trompe pas, c'est pour cela que l'identification du mot de passe d'accès à un compte bancaire ne se fait plus via le clavier mais en cliquant sur un tableau de chiffres qui s'affiche dans un ordre différent à chaque accès au site.
à supprimé à la demande du riverain 23 mars
De Montcuq
Étudiant | 13H36 | 28/10/2008 |
Ce n'est pas précisément pour cette raison, même si le problème est le même : le plus courant est qu'un programme clandestin sur ton ordinateur enregistre ce que tu tapes au clavier et l'envoie par internet au méchant pirate.
à Montcuq
De DBL8
Retraité | 19H33 | 28/10/2008 |
ET oui… il y a plein d'internautes qui ne font pas attention à la protection de leur PC ; il y a pourtant assez de logiciels, GRATUITS, et matos qui le permet.
Mais voilà, il faut le faire et mettre à jour, et ça…
De DBL8
Retraité | 13H03 | 28/10/2008 |
Cette information n'est pas nouvelle, c'est connu depuis bien longtemps ; mais un petit rappel…
De bomsky
3 è étage | 13H17 | 28/10/2008 |
ok ça peut marcher pour un neurasthénique dans une ambiance ultra feutrée mais en conditions normales ?
à bomsky
De Marvin_Le_Rouge
Développeur | 13H50 | 28/10/2008 |
En conditions normales aucunes chances que ça marche, la souris, l'écran, le PC, le téléphone portable produisent autant sinon plus de rayonnements électromagnétiques. il est impossible de dissocier les signaux… jusqu'à présent ; ).
De Montcuq
Étudiant | 13H22 | 28/10/2008 |
Vous allez un peu vite en besogne pour le distributeur de billets. Les claviers de ces appareils ne sont pas des claviers ordinaires, ils coutent très cher et sont spécialement conçus pour parer ce genre de techniques. Après,peut-être qu'on y arrive quand-même.
à Montcuq
De Pierre Vandeginste
(auteur)
Journaliste scientifique, blog Aïe ... | 18H59 | 28/10/2008 |
Ma phrase n'est pas assez précise, j'en conviens.
J'aurais du dire que les chercheurs suisses… sont très affirmatifs : « Computer keyboards are often used to transmit sensitive information such as username/password (e.g. to log into computers, to do e-banking money transfer, etc.). A vulnerability on these devices will definitely kill the security of any computer or ATM. »
à Pierre Vandeginste
De Lechat
esprit critique | 21H00 | 28/10/2008 |
Il existe divers moyens pour espionner celui dont vous parlez n'est qu'un de plus Je m'inquièterais le jour ou l'homme aura une puce comme moyen d'identification. Ce qui est déjà le cas pour l'animal
à Lechat
De Pierre Vandeginste
(auteur)
Journaliste scientifique, blog Aïe ... | 21H29 | 28/10/2008 |
Je ne vois pas le rapport.
La « puce comme moyen d'identification » est une parano répandue mais pas bien futée. Primo ça ne marche pas. Secundo, tant qu'à se faire un flip, autant craindre le décryptage ADN instantané. Par exemple.
à Pierre Vandeginste
De Lechat
esprit critique | 22H32 | 28/10/2008 |
Ce serait donc une parano répandue mais pas bien futée ! ! ! ! ! !
voir vidéos
http://www.numerama.com/magazine/5229-Les-implants-RFID-au-coeur-d-un-pr…
Je trouve cela nettement plus inquiétant
à Lechat
De Pierre Vandeginste
(auteur)
Journaliste scientifique, blog Aïe ... | 17H41 | 29/10/2008 |
C'est inquiétant à condition d'imaginer des trucs qui n'ont aucun sens.
Pouvez-vous décrire concrètement le scénario qui vous « inquiète » ?
à Pierre Vandeginste
De Montcuq
Étudiant | 21H52 | 28/10/2008 |
Les chercheurs aussi sont bien obligés de vendre leurs articles : )