Le marché des montres connectées semblent être un des nouveaux vecteurs de croissance choisi par l’industrie High Tech : Apple et sa montre Apple Watch (la plus populaire), Samsung, Sony, Asus, LG, Google… Tout le monde se dit que la prochaine révolution de l’informatique portable ne se situera pas seulement dans nos poches, mais aussi à notre poignet !

Une révolution qui pourrait aussi poser d’inattendus problèmes de sécurité, comme en témoignent les travaux d’un groupe de chercheurs américains de l’Université de l’Illinois, qui ont pu démontrer que les montres connectées peuvent savoir ce que vous tapez sur le clavier de votre ordinateur en analysant le mouvements de vos mains !

« Quand un utilisateur tape au clavier, les mouvements de son poignet – même les plus infimes – peuvent être utilisés pour savoir ce qu’un utilisateur est en train de taper. »

Un pirate pourrait donc très bien créer une application malicieuse pour enregistrer les mouvements de poignet d’une personne au travers de sa montre connectée, grâce aux accéléromètres et autres capteurs permettant de déterminer les mouvements de la main d’une personne.

Pour effectuer leurs recherches, nos chercheurs ont demandé à 8 volontaires portant un montre Samsung Gear Live de taper 300 mots différents en anglais et ils ont enregistré au même moment les mouvements du poignet des sujets de l’expérience. Ensuite, les données enregistrées ont été compilées par un programme de leur cru qui s’est chargé d’effectuer une analyse et de savants calculs de probabilité.

Cela permet ainsi à MoLe, le système ainsi créé, de pouvoir déterminer les mots tapés par une personne portant une montre connectée avec suffisamment de précision pour que l’on puisse retrouver ce qu’elle a pu écrire au clavier.

Une smartwatch peut ainsi devenir un véritable petit keylogger, enregistrant toutes vos frappes sur votre clavier, et permettant ensuite d’obtenir vos identifiants et mots de passe, ou bien même d’espionner le contenu des emails que vous rédigez.

L’équipe de scientifiques prévient tout de même : il ne s’agit pas encore d’une véritable vulnérabilité sérieuse, puisqu’ils n’arrivent pas encore à déterminer l’utilisation de la barre Espace par exemple, et il a encore du mal à différencier les lettres proches les unes des autres sur les touches d’un clavier. Sachant aussi qu’il s’agit d’un système pouvant deviner les mots tapés selon certaines probabilités statistiques, les mots de passe composés de caractères aléatoires lui donneront encore du fil à retordre pendant un moment !

Autre limitation : puisqu’une montre connectée n’est portée que sur un seul poignet, elle ne peut déterminer avec précision que les lettres de la partie gauche d’un clavier, ce qui limite encore la précision de MoLe.

Les chercheurs estiment néanmoins qu’il va être possible d’améliorer encore la précision de MoLe avec l’arrivée de nouvelle techniques, ainsi que grâce à l’utilisation de montres connectées possédant des capteurs de plus en plus précis. De quoi utiliser les montres comme nouvelles failles potentielles dans la sécurité d’un système d’information. Quand les voitures, les réfrigérateurs et les montres ne sont pas à l’abri d’un piratage, quel appareil reste-t-il pour que nous ne courrions aucun risque d’être hacké dans un futur proche ?

Source