Sécurité : les objets connectés peuvent révéler votre code de carte bleue

Selon un rapport récemment publié par la Thomas J. Watson School of Engineering et l’Applied Science at Binghamton University, les données collectées par les objets connectés peuvent être utilisées par les hackers pour découvrir les codes PIN et codes de carte bleue des utilisateurs. Une menace à prendre en compte pour les constructeurs d’objets connectés. 

Les objets connectés sont dotés de capteurs tels que des accéléromètres, des gyroscopes ou des magnétomètres permettant de collecter des donnée de mouvement. C’est en développant un algorithme capable d’exploiter ces données que les chercheurs sont parvenus à trouver des codes PIN et des codes de carte bleue avec une précision impressionnante. Dans 80% des cas, l’algorithme trouve le code en un seul essai. Dans 90% des cas, il le trouve en trois essais maximum. Les tests ont été réalisé en laboratoire sur les montres connectées LG W150 et Moto360.

L’algorithme est en fait capable d’analyser tous les mouvements de pressions effectués sur le clavier tactile d’un bracelet ou d’une montre connectée pour tenter de repérer une combinaison de touches fréquemment utilisée. Cette combinaison a de grandes chances d’être un code PIN ou un code de carte bleue, du moins dans les pays où les services de paiement sans contact comme Apple Pay sont disponibles. 

apple-pay-apple-watch

Deux méthodes pour voler les données de mouvement

Selon Yan Wang, assistant professeur à l’Université de Binghamton, il existe deux méthodes pour dérober les données de mouvement stockées sur un objet connecté (et parfois même vous espionner). La première technique consiste à infiltrer les capteurs d’un objet connecté en utilisant un malware, par exemple à l’aide d’une mise à jour corrompue envoyée par mail. La deuxième méthode consiste à intercepter les données envoyées du wearable vers le smartphone via Bluetooth, à l’aide d’un sniffeur de trafic sans fil.

Fort heureusement, le code d’une carte bleue ne sert à rien sans la carte en question. Il est toutefois possible pour les hackers les plus expérimentés de fabriquer une fausse carte identique à l’originale. Les processus de cette envergure sont néanmoins réservés, en général, aux cibles les plus fortunées.

Le risque d’une demande de rançon

carte-bleue

Même pour les hackers qui ne sont pas en mesure de réaliser l’intégralité d’une telle attaque, l’obtention d’un code de carte bleue ou d’un code PIN est une acquisition précieuse. De plus en plus de personnes mal intentionnées utilisent des ransomwares, consistant à exiger une rançon auprès des utilisateurs en échange d’informations dérobées. Il suffit au hacker de communiquer le code de carte bleue à sa cible, et de le menacer en exigeant une somme d’argent. Dans la plupart des cas, la victime se pliera aux exigences plutôt que de prendre le risque de se faire voler de l’argent. Ce type d’attaques informatiques est celui connaît actuellement la plus forte croissance.

Comment déjouer les tentatives de vol de données ?

Il est donc très important pour les constructeurs d’objets connectés et les spécialistes de la sécurité informatique de prendre en compte cette menace pour éviter une crise de l’internet des objets. Pour y remédier, il faudrait par exemple renforcer le chiffrement des données. Pour l’heure, les utilisateurs peuvent tenter de minimiser le risque en effectuant volontairement des mouvements aléatoires en composant leurs codes sur une montre ou bracelet connecté.

Ce risque peut-il vous dissuader d’acheter des objets connectés ? 

We will be happy to hear your thoughts

      Leave a reply