Un "PoC" original

[yoda1234]

Bonjour,

il y a quelque temps, j'avais vu une info passer sur une façon d'identifier par le son les touches frappées sur un clavier de PC standard et de cette manière espionner les infos rentrées: Une sorte de Keylogger phonique. Mais je ne retrouve plus l'article.
Dans le même esprit, une équipe de chercheurs en sécurité a développé un POC (Proof Of Concept) sous la forme d'un cheval de Troie se basant sur les mouvements que fait l'appareil quand son utilisateur entre des informations au clavier: Voici une explication en français et les liens qui mènent vers les articles originaux: http://infomars.fr/forum/index.php?showtopic=4150
-----

[mh34]

Bonjour.
Mais dis, ça fait très peur ce truc! Bon moi j'ai pas de smartphone ( et j'en veux pas!), mais si je dois craindre d'être "espionnée" chaque fois que je me sers de mon clavier d'ordinateur...
Comment peut-on s'en protéger?

[myoper]

Et si le cheval de Troie, au lieu d'enregistrer des informations d'accélération et de position, enregistrait directement les codes des touches tapées (l'information à la sortie du "clavier") ?

[yoda1234]

Salut à tous les deux!

Et si le cheval de Troie, au lieu d'enregistrer des informations d'accélération et de position, enregistrait directement les codes des touches tapées (l'information à la sortie du "clavier") ?

En fait, ce qui est particulier sur ce POC, c'est ça:

car ces systèmes n'exigent pas plus qu'Android de permission particulière pour accéder à l'accéléromètre et aux senseurs d'orientation visés par ce type d'attaque.

Alors que je suppose que la scrutation de l'écran du smartphone est contrôlée.

mais si je dois craindre d'être "espionnée" chaque fois que je me sers de mon clavier d'ordinateur

Si tu parles de "l'espion phonique", je pense que c'est un beau POC mais assez difficile à mettre en œuvre dans des conditions normales. Certains services délicats comme les banques exigent un identifiant et un code entré par un clavier virtuel sur le site, ce qui rend inutile les bestioles "phoniques" qui ne percevra que les clics de souris.
Sinon, il faut faire confiance à l'éditeur quelque il soit. Certains d'entre eux (les éditeurs) ont pu nettoyer à distance tous les smartphones infectés par une bestiole. De mémoire, il me semble que c'est Google avec son Androîd.

[A voir en vidéo sur Futura]

[myoper]

car ces systèmes n'exigent pas plus qu'Android de permission particulière pour accéder à l'accéléromètre et aux senseurs d'orientation visés par ce type d'attaque.

Ok, alors.

[mh34]

Si tu parles de "l'espion phonique", je pense que c'est un beau POC mais assez difficile à mettre en œuvre dans des conditions normales.

En fait je ne savais même pas que ce genre de chose existait! ( mais bon, je suis une quiche en informatique...)
Si tu me dis que je n'ai rien à craindre, je te crois, et ça me va.
Merci.

[kakashi1401]

Bonjour,

il y a quelque temps, j'avais vu une info passer sur une façon d'identifier par le son les touches frappées sur un clavier de PC standard et de cette manière espionner les infos rentrées

Je me souviens avoir lu un article parlant de ça, une étude faite dans une université (peut être aux USA, mais à vérifier) visant à mesurer très précisément chaque fréquence générée par les touches du clavier. Je ne me souviens plus bien de l'origine de cet article, et je n'arrive pas à le retrouver. Je pense que c'est un procédé très dur à mettre en place, imaginez le nombre de touche du clavier, et le nombre de claviers différents ! Il faut mesurer précisément chaque touche pour un clavier spécifique, et espérer que chaque touche est une fréquence différente !

PS: si je tombe sur l'article en question je vous fais signe

A+

[khurnous]

Bonjour,

Il s'agit de l'adaptation d'un principe utilisé pour espionner les antiques machines à écrire. C'est une technique que les services de renseignements ont développés pour espionner les ambassades.

Dans toutes les ambassades, il existe une zone "blanche" dans laquelle sont uniquement utilisés des stylos tout matériel mécanique/électromécanique ou informatique y étant interdit.

En soit rien de neuf, c'est le support technique qui lui change.

Dans le même ordre d'idée, si vous voulez que votre téléphone portable soit réellement "muet", retirez la batterie de celui-ci. C'est d'ailleurs exigé dans certaines réunions sensibles.