211service.com
Une erreur utilisateur compromet de nombreuses applications de communication cryptées
Selon des recherches récentes, les applications pour smartphones et les téléphones spéciaux qui visent à assurer une communication sécurisée peuvent souvent voir leur sécurité compromise par les utilisateurs eux-mêmes.
Les applications, qui incluent RedPhone et Signal, peuvent demander aux personnes qui s'appellent ou s'envoient des SMS de comparer verbalement une courte chaîne de mots qu'ils voient sur leurs écrans (souvent appelée somme de contrôle ou courte chaîne d'authentification) pour s'assurer qu'une nouvelle session de communication n'a pas 't été violé par un intrus. L'idée est que si la sécurité d'un appel est compromise, ces mots ne correspondent pas.
Pour tester à quel point cela fonctionne, des chercheurs de l'Université de l'Alabama à Birmingham ont mis en place une étude qui imitait une application cryptophone. Les chercheurs ont demandé aux participants d'utiliser un navigateur Web pour appeler un serveur en ligne. Ensuite, ils ont écouté une séquence aléatoire de deux ou quatre mots et ont déterminé si cela correspondait aux mots qu'ils voyaient sur l'écran d'ordinateur devant eux. Les participants ont également été invités à vérifier si la voix qu'ils entendaient était la même que celle qu'ils avaient entendue précédemment en lisant une nouvelle.
Les chercheurs ont découvert que les participants à l'étude acceptaient fréquemment les appels même s'ils entendaient la mauvaise séquence de mots, et refusaient souvent les appels lorsque la séquence était prononcée correctement. Au-delà de cela, les chercheurs affirment que l'utilisation d'une somme de contrôle de quatre mots au lieu d'une somme de contrôle de deux mots semblait diminuer la sécurité, même si une somme de contrôle plus longue devrait augmenter la sécurité de manière exponentielle.
Les chercheurs ont présenté leurs travaux dans un article ce mois-ci lors d'une conférence sur la sécurité informatique à Los Angeles.
L'étude a inclus 128 personnes, et Maliheh Shirvanian , l'auteur principal de l'article et étudiant diplômé de l'Université de l'Alabama à Birmingham, affirme que les participants ont accepté une chaîne de deux mots incorrecte 30 % du temps si elle provenait d'une voix correctement vérifiée comme étant celle qu'ils avaient déjà entendue. Ils ont également rejeté les chaînes de deux mots prononcées correctement environ 22 % du temps.
De plus, les chercheurs ont remarqué que les participants acceptaient des chaînes de quatre mots qui étaient incorrectes environ 40 % du temps et rejetaient celles qui étaient correctes 25 % du temps.
Justin Troutman , un cryptographe qui travaille pour la startup de recherche cryptée Kryptnostic et a concentré son travail sur l'intersection de la cryptographie et de l'expérience utilisateur, explique que l'une des raisons pour lesquelles les gens pourraient accepter des sommes de contrôle incorrectes est qu'elles consistent en des mots aléatoires, plutôt qu'en une séquence que vous verriez dans une phrase. Les utilisateurs peuvent se déconnecter un peu lorsqu'ils les entendent, surtout s'ils reconnaissent la voix de l'orateur à l'autre bout. Avec un nombre de mots plus élevé, ils pourraient éliminer ceux du milieu, ajoute-t-il.
Dans l'espoir d'améliorer la sécurité, les chercheurs disent qu'ils travaillent actuellement sur une nouvelle étude qui examine comment utiliser un logiciel pour comparer les sommes de contrôle, en particulier les plus longues, au début d'un appel sécurisé. Comme les chercheurs l'envisagent, les participants à un appel prononceraient leurs mots à haute voix. Ensuite, un logiciel transcrivait les mots et comparait les deux transcriptions. De cette façon, les utilisateurs valideraient simplement que la voix à l'autre bout semble familière, en supposant qu'ils savent déjà à quoi ressemble la personne à qui ils parlent (ce qui, bien sûr, ne sera pas toujours le cas).