Une nouvelle attaque baptisée « WiKI-Eve » peut intercepter les transmissions en texte clair des smartphones connectés aux routeurs WiFi modernes et déduire des frappes numériques individuelles avec un taux de précision allant jusqu’à 90 %, permettant ainsi le vol de mots de passe numériques.
WiKI-Eve exploite le BFI (beamforming feedback information), une fonctionnalité introduite en 2013 avec le WiFi 5 (802.11ac), qui permet aux appareils d’envoyer des informations sur leur position aux routeurs afin que ces derniers puissent diriger leur signal avec plus de précision.
Le problème avec BFI est que l’échange d’informations contient des données sous forme de texte clair, ce qui signifie que ces données peuvent être interceptées et facilement utilisées sans nécessiter de piratage matériel ou de déchiffrement de clé de cryptage.
Cette faille de sécurité a été découverte par une équipe de chercheurs universitaires en Chine et à Singapour, qui ont testé la récupération des secrets potentiels de ces transmissions.
L’équipe a constaté qu’il est raisonnablement facile d’identifier les frappes numériques dans 90 % du temps, de déchiffrer les mots de passe numériques à 6 chiffres avec une précision de 85 % et d’élaborer des mots de passe d’applications complexes avec une précision d’environ 66 %.
Bien que cette attaque ne fonctionne que sur les mots de passe numériques, une étude réalisée par NordPass a montré que 16 des 20 principaux mots de passe n’utilisaient que des chiffres.
L’attaque WiKI-Eve
L’attaque WiKI-Eve est conçue pour intercepter les signaux WiFi lors de la saisie du mot de passe. Il s’agit donc d’une attaque en temps réel qui doit être menée pendant que la cible utilise activement son smartphone et tente d’accéder à une application spécifique.
L’attaquant doit identifier la cible à l’aide d’un indicateur d’identité sur le réseau, comme une adresse MAC, un travail préparatoire est donc nécessaire.
« En réalité, Eve peut acquérir ces informations au préalable en effectuant simultanément une surveillance visuelle et du trafic : la corrélation du trafic réseau provenant de diverses adresses MAC avec les comportements des utilisateurs devrait permettre à Eve de relier l’appareil physique de Bob à son trafic numérique, identifiant ainsi l’adresse MAC de Bob. » explique les chercheurs.
Dans la phase principale de l’attaque, la série chronologique BFI de la victime lors de la saisie du mot de passe est capturée par l’attaquant à l’aide d’un outil de surveillance du trafic comme Wireshark.
Chaque fois que l’utilisateur appuie sur une touche, cela impacte les antennes WiFi derrière l’écran, provoquant la génération d’un signal WiFi distinct.
« Bien qu’ils ne représentent qu’une partie des CSI de liaison descendante concernant le côté AP, le fait que la saisie à l’écran impacte directement les antennes Wi-Fi (et donc les canaux) juste derrière l’écran (voir Figure 1) permet aux BFI de contenir suffisamment d’informations sur frappes », lit-on dans le journal.
Cependant, l’article souligne que la série BFI enregistrée pourrait brouiller les frontières entre les frappes au clavier, c’est pourquoi ils ont développé un algorithme pour analyser et restaurer les données utilisables.
Pour relever le défi du filtrage des facteurs qui interfèrent avec les résultats, comme le style de frappe, la vitesse de frappe, les frappes adjacentes, etc., les chercheurs utilisent l’apprentissage automatique appelé « réseau neuronal convolutif 1-D ».
Le système est formé pour reconnaître de manière cohérente les frappes au clavier, quels que soient les styles de frappe, grâce au concept « d’adaptation de domaine », qui comprend un extracteur de fonctionnalités, un classificateur de frappe et un discriminateur de domaine.
Enfin, une « couche d’inversion de gradient » (GRL) est appliquée pour supprimer les fonctionnalités spécifiques au domaine, aidant ainsi le modèle à apprendre des représentations de frappe cohérentes entre les domaines.
Résultats de l’attaque
Les chercheurs ont expérimenté WiKI-Eve en utilisant un ordinateur portable et WireShark, mais ont également souligné qu’un smartphone peut également être utilisé comme dispositif d’attaque, bien qu’il puisse être plus limité en termes de nombre de protocoles WiFi pris en charge.
Les données capturées ont été analysées à l’aide de Matlab et Python, et les paramètres de segmentation ont été définis sur les valeurs indiquées pour produire les meilleurs résultats.
Vingt participants connectés au même point d’accès WiFi utilisaient différents modèles de téléphones. Ils ont saisi divers mots de passe à l’aide d’un mélange d’applications actives en arrière-plan et de vitesses de frappe variables, tandis que les mesures étaient prises à partir de six emplacements différents.
Les expériences ont montré que la précision de la classification des frappes de WiKI-Eve reste stable à 88,9 % lorsque l’algorithme de récupération clairsemé et l’adaptation de domaine sont utilisés.
Pour les mots de passe numériques à six chiffres, WiKI-Eve a pu les déduire avec un taux de réussite de 85 % en moins d’une centaine de tentatives, restant systématiquement au-dessus de 75 % dans tous les environnements testés.
Cependant, la distance entre l’attaquant et le point d’accès est cruciale pour cette performance. L’augmentation de cette distance de 1 m à 10 m a entraîné une baisse du taux de réussite de 23 %.
Pour les mots de passe numériques à six chiffres, WiKI-Eve a pu les déduire avec un taux de réussite de 85 % en moins d’une centaine de tentatives, restant systématiquement au-dessus de 75 % dans tous les environnements testés.
Cependant, la distance entre l’attaquant et le point d’accès est cruciale pour cette performance. L’augmentation de cette distance de 1 m à 10 m a entraîné une baisse du taux de réussite de 23 %.
Les chercheurs ont également expérimenté la récupération des mots de passe des utilisateurs pour WeChat Pay, en émulant un scénario d’attaque réaliste, et ont constaté que WiKI-Eve déduisait correctement les mots de passe à un taux de 65,8 %.
Le modèle a systématiquement prédit le mot de passe correct parmi ses 5 principales suppositions dans plus de 50 % des 50 tests effectués. Cela signifie qu’un attaquant a 50 % de chances d’obtenir l’accès avant d’atteindre le seuil de sécurité de cinq tentatives de mot de passe incorrectes, après quoi l’application se verrouille.
En conclusion, l’article montre que les adversaires peuvent déduire des secrets sans pirater les points d’accès et en utilisant simplement des outils de surveillance du trafic réseau et des cadres d’apprentissage automatique.
Cela nécessite une sécurité accrue dans les points d’accès WiFi et les applications pour smartphones, comme la randomisation potentielle du clavier, le cryptage du trafic de données, l’obscurcissement du signal, le brouillage CSI, le brouillage des canaux WiFi, etc.