Des chercheurs découvrent une nouvelle façon d'anonymiser les identifiants des appareils à la biométrie des utilisateurs
Des chercheurs ont découvert un moyen potentiel de profiler et de suivre les utilisateurs en ligne en utilisant une nouvelle approche qui combine les identifiants des appareils avec leurs informations biométriques.
Les détails proviennent d'une recherche récemment publiée intitulée "Nulle part où se cacher : fuite d'identité intermodale entre la biométrie et les appareils" par un groupe d'universitaires de l'Université de Liverpool, de l'Université de New York, de l'Université chinoise de Hong Kong et de l'Université de Buffalo SUNY.
"Les études antérieures sur le vol d'identité ne prennent en compte l'objectif d'attaque que pour un seul type d'identité, que ce soit pour les identifiants d'appareil ou la biométrie", a déclaré Chris Hoxer Lu, professeur adjoint à l'Université de Liverpool. "La partie manquante, cependant, est d'explorer la faisabilité de compromettre les deux types d'identités simultanément et de comprendre profondément leur corrélation dans les environnements IoT multimodaux."
Les chercheurs ont présenté les résultats lors de la conférence Web 2020 qui s'est tenue à Taipei la semaine dernière. Le prototype et le code associé sont accessibles ici.
Une attaque de fuite de données composée
Le mécanisme de fuite d'identité s'appuie sur l'idée d'écoute clandestine d'individus dans des espaces cyber-physiques sur de longues périodes.
En résumé, l'idée est qu'un attaquant peut exploiter l'unicité des informations biométriques des individus (visages, voix, etc.) et des adresses MAC Wi-Fi des smartphones et des appareils IoT pour identifier automatiquement les personnes en établissant une corrélation spatio-temporelle entre les deux séries d'observations.
"L'attaquant peut être un initié comme des collègues qui partagent le même bureau avec des victimes ou des étrangers qui utilisent leurs ordinateurs portables pour espionner des victimes aléatoires dans un café", a déclaré Xiaoxuan Lu. "Donc, lancer une telle attaque n'est pas difficile, étant donné que les appareils IoT multimodaux sont très petits et peuvent être bien déguisés, comme une caméra espion avec fonction de reniflement Wi-Fi. Dans l'ensemble, il y a peu d'effort de configuration du côté de l'attaquant."
Pour monter l'attaque, les chercheurs ont assemblé un prototype d'écoute basé sur un Raspberry Pi qui se composait d'un enregistreur audio, d'une caméra 8MP et d'un renifleur Wi-Fi qui peut capturer les identifiants de l'appareil.
Les données collectées de cette manière ont non seulement établi qu'il existe une similitude de présence à la session entre sa biométrie physique et son appareil personnel, mais elles sont également suffisamment uniques pour isoler un individu spécifique parmi plusieurs personnes situées dans le même espace.
La précision de l'attaque, cependant, peut diminuer dans le cas où une victime est cachée dans une foule et partage le même modèle de fréquentation de la session ou très similaire avec un autre sujet - quelque chose qui est difficile à réaliser et peu pratique, selon les chercheurs.
Techniques d'atténuation possibles
Mais avec des milliards d'appareils IoT connectés à Internet, les chercheurs affirment que l'effet composé d'une telle fuite de données est une menace réelle, l'adversaire étant capable de désanonymiser plus de 70% des identifiants d'appareils.
L'obscurcissement des communications sans fil et la recherche de microphones ou caméras cachés pourraient aider à atténuer l'attaque transmodale, bien qu'ils avertissent qu'il n'y a pas encore de bonne contre-mesure.
"Évitez de connecter le Wi-Fi à des réseaux sans fil publics car cela laisse votre adresse MAC Wi-Fi sous-jacente exposée", a déclaré Xiaoxuan Lu.
"N'autorisez pas les appareils IoT multimodaux (comme les sonnettes intelligentes ou les assistants vocaux) à vous surveiller 24h/24 et 7j/7, car ils vous renvoient des données sans aucune transparence, et ils peuvent être facilement piratés et compromettre votre ID en plusieurs dimensions."
Lieben AHOUANSOU,
Analyste en Cybersécurité
Source : The Hacker News