Votre manière de taper sur un clavier vous trahira bientôt sur Internet

Erika folding typewriter detail / mpclemens via Flickr CC License By

Erika folding typewriter detail / mpclemens via Flickr CC License By

Votre manière d'utiliser un clavier d'ordinateur constitue une signature unique: promue pour renforcer la sécurité en ligne, cette «biométrie comportementale» risque de menacer la préservation de l'anonymat sur Internet.

Des révélations d’Edward Snowden au débat puis au vote de la loi sur le renseignement, le dossier à charge sur la surveillance de nos comportements en ligne est déjà bien épais, et des millions d’internautes jadis insouciants ont pris depuis conscience qu’une armada de petits mouchards se cachaient dans les moindres recoins de l’Internet, analysant les plus anodins de leurs surfs quotidiens.

Voici une nouvelle raison de flipper et d’envisager de donner raison aux paranoïaques du réseau: peu importe les précautions que vous avez prises pour surfer anonymement et ne pas être traqué en ligne, la manière dont vous enfoncez les touches de votre clavier à une certaine fréquence vous trahira. On appelle biométrie comportementale l’identification d’un individu par une caractéristique non pas physique (ADN, empreintes digitales, iris de l’œil, salive, etc.) mais... comportementale. C’est ce que vous faites (parler, chanter, se mouvoir, etc.) et non ce que vous êtes qui permet alors de vous identifier, la signature comportementale se révélant être aussi unique que la signature génétique d’un individu.

La sous-discipline qui étudie la manière d’utiliser un clavier d’ordinateur répond au nom évocateur de «frappologie», en quelque sorte l'équivalent numérique de la graphologie. Et les frappologues ont ces dernières années considérablement avancé dans leurs expériences: une équipe française de l’ENSI à Caen est par exemple capable de différencier à plus de 50% de probabilité un homme d’une femme par la seule analyse de la dynamique de frappe sur le clavier.

Dynamique de frappe

Comme de nombreuses innovations techniques, la frappologie se présente comme une garantie de sécurité pour nos démarches en ligne: un escroc qui aurait récupéré vos identifiant, mot de passe et codes de carte bleue serait bloqué lors de sa tentative de faire des achats en ligne ou un virement bancaire en se faisant passer pour vous, parce que sa dynamique de frappe trahirait son imposture. La question n’est donc plus de connaître le mot de passe de l’utilisateur, mais de l’identifier correctement en analysant comment il le tape.

La question n’est plus de connaître le mot de passe de l’utilisateur mais de l’identifier en analysant comment il le tape

C’est d’ailleurs un système déjà utilisé par plusieurs banques en ligne, affirme Per Thorsheim, spécialiste de sécurité informatique, dans un post de blog détaillé. L’auteur déroule les cas de figure dans lesquels le profilage comportemental par analyse de l’utilisation du clavier pourrait se retourner contre nous.

Le cas le plus bénin mais aussi le plus susceptible de se réaliser d’ici quelques années, c’est bien entendu le suivi de l’internaute à des fins commerciales. Les sociétés qui diffusent la publicité ciblée justifieraient leur utilisation de cette technique en expliquant qu’elle permet de mieux servir l’internaute en lui présentant des offres plus personnalisées.

Autre risque, plus pernicieux: «cette technologie a le potentiel de détruire tous les conseils que nous donnons sur l’usage des mots de passe pour éduquer les utilisateurs depuis longtemps», s'inquiète Per Thorsheim. Car si l’identification biométrique comportementale implique d’avoir à entrer manuellement vos mots de passe à chaque fois (c’est le principe de ce mode d’identification, vous faire écrire pour vous reconnaître), il y a fort à parier que les internautes reviendraient à des mots de passe moins longs et moins élaborés.

Profilage même sur Tor

Un autre spécialiste, Paul Moore, va plus loin et se demande: que se passerait-il si quelqu’un «volait» votre profil de touche de frappe? Les conséquences seraient dramatiques: on ne change pas sa manière d’écrire sur un clavier comme on génère un nouveau mot de passe en cas de vol.

Enfin, la frappologie utilisée à des fins d'espionnage pourrait faire sauter les innombrables verrous dont s’entourent les internautes hyper-prudents: même le réseau anonyme Tor,  censé protéger l’internaute des filatures numériques, pourrait être vulnérable à cette nouvelle technique d’identification. Des scripts de profilage en ligne, explique au site Ars Technica une autre spécialiste en sécurité informatique, Runa Sandvik, pourraient être mise en place pour pister les internautes mêmes sur ce «dark web» réputé pour sa sûreté inviolable.

Les menaces sont si précises que les deux chercheurs mentionnés plus haut, Per Thorsheim et Paul Moore, ont déjà créé un plug in pour le navigateur Chrome, dont l’action consiste à masquer votre véritable rythme de frappe sur le clavier et à communiquer à la place aux sites que vous consultez des informations fausses et aléatoires sur ce rythme, afin de brouiller l’identification.

La frappologie utilisée à des fins d'espionnage pourrait faire sauter les innombrables verrous dont s’entourent les internautes hyper-prudents

Score de réussite

Plusieurs des entreprises qui travaillent sur des applications concrètes de l'identification par le profil de frappe des touches de clavier ont mis en ligne des démonstrations.

La plus complète est celle de BehavioSec. Pour s'y essayer, il suffit d'accorder dix minutes au site, pendant lesquelles vous allez devoir entrer des textes des chiffres dans des champs, dans une simulation d'achat en ligne ou de consultation d'un compte en banque. Dans l'exemple présenté ci-dessous, le logiciel nous demande de simuler l'achat d'une paire de baskets sur un site de e-commerce, en entrant des codes de carte bleue et des coordonnées fictives:

Les résultats sont mitigés, et incitent à relativiser l'efficacité de la méthode de l’identification par profil de frappe

Une fois l'opération répétée dix fois, le logiciel a identifié votre signature et vous attribue un score de référence (illustration ci-dessous).

Il est temps de demander à une autre personne de tenter de se faire passer pour vous en rééditant l'exercice. Pour notre part, les résultats sont mitigés, et incitent à relativiser l'efficacité de la méthode. Ci-dessous, voici la liste des sessions réalisées par le «vrai moi», et par deux collègues: problème, si l'un d'entre eux est clairement démasqué et se voit attribuer un très faible score de réussite (icône rouge dans la liste), l'autre a passé le test avec brio...

Sur un autre site de démonstration, KeyTrac, le cobaye doit recopier des extraits de romans. Lorsqu'un tiers se livre à l'expérience dans la foulée, le résultat est plus convaincant, le logiciel repérant la fraude en attribuant un faible score à la performance.

 

Partager cet article