On avait déjà parlé du signal P300. Eh bien, il semblerait que ce soit réellement notre « Backdoor » (porte dérobée), et que l'on n'ait pas fini de l'exploiter... Même à notre insu.Aussi incroyable que cela paraisse, ce que beaucoup croyait être le dernier bastion de l'intimité totale, à savoir, l'esprit humain, devient rapidement juste vulnérable comme le reste de nos vies, avec l'invention des casques pour lire dans les pensées et d'autres manières de « pirater » l'esprit.
Maintenant les chercheurs en sécurité de l'Université de Californie, de Berkeley, de l'université d'Oxford et de l'université de Genève, ont créé un programme personnalisé pour se connecter par interface aux dispositifs d'interface de cerveau-ordinateur et pour voler des informations personnelles à des victimes confiantes.
(BCI - Brain Computer Interface) Les chercheurs ont visé les appareil BCI de la catégorie des consommateurs, étant donné qu'ils gagnent rapidement en popularité dans une grande variété d'applications comprenant les ordinateurs se connectant en mains libres, des jeux vidéo et des programmes de feed back biométriques.
En outre, il y a maintenant des marchés d'application - semblables à ceux popularisés par Apple et la plate-forme Android - qui se fondent sur une Api pour rassembler des données du dispositif de BCI.
Malheureusement, avec toute nouvelle technologie viennent les nouveaux risques, et jusqu'ici « les risques de sécurité impliqués en utilisant des dispositifs de la catégorie BCI chez les consommateurs n'ont été jamais étudiés, et l'impact d'un logiciel malveillant avec l'accès à ce type de dispositif est encore inconnu » selon un communiqué de presse.
Les personnes impliquées dans ce projet - qui a eu comme conséquence un papier de recherches intitulé « sur la faisabilité des attaques transversales avec des interfaces de Cerveau-Ordinateur, » inclut Ivan Martinovic et Tomas ROS des universités d'Oxford et Genève, respectivement, avec Doug Davies, Mario Frank, Daniele Perito, et Dawn Song, tous de l’Université de Californie, Berkeley.
Les résultats de ces chercheurs innovateurs ne sont rien sous peu de dérangement. Ils ont trouvé « que cette technologie prochaine pourrait être tournée contre des utilisateurs pour indiquer leur information privée et secrète. »
En effet, ils ont utilisé les dispositifs relativement bon marché de BCI basés sur l'électro-encéphalographie afin de démontrer la faisabilité d’attaques étonnamment simples et efficaces.
(EEG) L'information qui peut être obtenue par ces attaques est incroyablement sensible, y compris, des « cartes de banque, les numéros de code PIN, le secteur de la vie, la connaissance des personnes connues ».
Plus troublant est le fait que cela représente « la première tentative d'étudier les implications en matière de sécurité des dispositifs BCI de catégorie de type consommateur », c'est ce qui fait le succès des attaques qui est beaucoup plus déconcertant.
Les chercheurs ont examiné les programmes propriétaires de 28 participants différents qui, alors qu'ils se rendaient évidemment compte qu'ils allaient coopérer à une étude, ne savaient pas en revanche qu'ils seraient « piratés mentalement » comme ils l’ont été.
Malheureusement, ou heureusement, selon votre perspective, les chercheurs ont trouvé « que l'entropie d'information privée est diminuée sur la moyenne approximativement de 15 % - 40 % comparés aux attaques d’estimation aléatoires. »
Ou comme Sébastian Anthony l'a mis par écrit pour ExtremeTech, « en général les expériences ont eu une chance de succès de 10 à 40 % d'obtenir des informations utiles ».
Les chercheurs ont accru un modèle distinctif de signal d'EEG connu sous le nom de réponse P300. Ce modèle d'onde cérébrale se produit typiquement quand le sujet identifie quelque chose telle que le visage ou un outil d'un ami nécessaire pour accomplir une tâche donnée.
Utilisant la connaissance de la réponse P300, les chercheurs ont créé un programme qui utilise une technique, que ceux qui sont au courant des techniques de piratage typique pourraient appeler une méthode de « force brutale ».
Cependant, cette méthode est seulement lâchement comparable aux méthodes traditionnelles de force brutale, puisque nous parlons d’utiliser une attaque de force brutale sur l'esprit humain.
Les chercheurs ont fait ceci par le biais d’images clignotant sur des cartes, des banques, des code PIN, etc., tout en surveillant le sujet pour toutes les réponses P300.
Après qu'ils aient rassemblé assez de données du sujet, ils pouvaient comparer facilement l'information saisie afin de voir quand une réponse P300 était déclenchée par une certaine image.
Ainsi, ceci a permis aux chercheurs de découvrir avec une exactitude étonnante quelle banque les sujets utilisent, où ils vivent, et toute autre information qui pourrait potentiellement être extrêmement sensible.
La clé à saisir pour cette information semble être que le sujet reste inconscient du fait qu'ils sont attaqués par des « jeux » particulièrement formulés, conçus pour voler l'information personnelle de l'esprit de la cible ou par une sensation de sécurité fausse engendrée par des techniques d'ingénierie sociale.
Personnellement, je trouve tout à fait préoccupant que les gens pourraient avoir leur information personnelle volée, simplement en jouant à ce qu'ils pensent être un jeu normal commandé par un dispositif BCI, quand en réalité c'est un logiciel soigneusement programmé conçu pour tirer des informations confidentielles de l'esprit de sa cible.
Comme Anthony précise ce point, « avançant, que ce piratage de cerveau peut seulement s'améliorer vers l'efficacité alors que les BCIs deviennent meilleur marché, plus précis, et utilisés de plus en plus massivement. »
Cependant, Anthony fait état inexactement que : « vraiment, votre seule défense est de ne pas penser au sujet », quand en réalité la réponse P300 peut se produire sans consciemment « penser » au sujet.
La réponse peut se produire quand une image d'un visage familier ou d'un emplacement apparaît, même si la personne ne pense pas à la personne familière ou à l'emplacement. Tandis que quelqu'un pourrait théoriquement être sur la défensive afin d'essayer de réduire au minimum sa réponse, la méthodologie principale du pirate informatique dépend entièrement par commencer d'éviter de se faire détecter.
Par conséquent, si la cible est déjà consciemment sur la défensive, le pirate informatique a échoué dans sa tâche de rester dans l'ombre et d'effectuer l'attaque sans la connaissance de la cible.
Ceci étant indiqué, si des programmes sont créés d'une façon assez intelligente, je doute sérieusement que la plupart des personnes pourraient dire qu'elles sont activement attaquées afin d'obtenir leurs données les plus privées et autres informations sensibles.
Source(s) : Madison Ruppert, BlacklistedNews
Traduction Folamour, Reproduction libre à condition de citer la source ainsi que celle de la traduction.