Utilisation des ondes cérébrales pour deviner les mots de passe

L'Epoc+ est un casque à détection d'ondes cérébrales à 800 $ commercialisé comme étant capable de détecter des états émotionnels tels que la frustration ou l'excitation, et vous permettant de contrôler des robots avec vos pensées.





Nitesh Saxena , professeur agrégé à l'Université de l'Alabama à Birmingham, a montré qu'il peut également aider les logiciels à deviner les codes PIN et les mots de passe en surveillant les ondes cérébrales d'une personne. L'étude rejoint un corpus restreint mais croissant de preuves sur la sécurité de l'interface cerveau qui, selon les chercheurs, montre que même les casques limités disponibles aujourd'hui ont besoin d'une meilleure sécurité.

Je dirais que c'est un risque pour les appareils d'aujourd'hui, et avec des appareils plus avancés, beaucoup plus pourrait être fait à l'avenir, dit Saxena, sur les perspectives de vol de données privées avec une interface cérébrale. Les gens doivent réfléchir aux modèles de confidentialité et de sécurité de ces interfaces. Facebook et une nouvelle startup d'Elon Musk font partie de ceux qui travaillent sur des interfaces cérébrales plus avancées qui présenteraient de plus grands risques de sécurité (voir Avec Neuralink, Elon Musk promet une télépathie interhumaine. Ne le croyez pas).

L'Epoc +, fabriqué par Emotiv, est l'un des rares appareils sur le marché qui utilisent un casque avec des électrodes pour détecter les changements de tension dans la couche externe du cerveau, une approche connue sous le nom d'électroencéphalographie ou EEG. Les gadgets sont utilisés dans la recherche et la médecine pour des tâches telles que diriger des robots et diagnostiquer une commotion cérébrale, et sont vendus aux consommateurs en tant que contrôleurs de jeux (voir Controlling VR with Your Mind).



Les signaux EEG ne peuvent pas être utilisés pour simplement lire ce qu'une personne pense ou fait, et le contrôle qu'ils peuvent fournir en tant qu'interfaces est relativement grossier. Mais les expériences de l'Université de l'Alabama ajoutent à la preuve qu'elles peuvent toujours répandre des informations privées.

La nouvelle étude a testé l'idée qu'une personne qui a interrompu une session de jeu et s'est connectée à un compte bancaire tout en portant un casque EEG pourrait être exposée à un logiciel malveillant espionnant ses informations d'identification personnelles via des ondes cérébrales.

Les gens ont d'abord saisi des codes PIN et des mots de passe aléatoires tout en portant le casque, permettant au logiciel d'apprendre le lien entre leur frappe et les ondes cérébrales. Saxena dit que cette étape de formation pourrait être réalisée dans le monde réel par un jeu qui demanderait aux utilisateurs de saisir du texte ou des codes dans le cadre du gameplay, par exemple.



Après avoir observé une personne entrer environ 200 caractères, les algorithmes pourraient faire des suppositions éclairées sur les nouveaux caractères qu'une personne a entrés simplement en regardant les données EEG. Cela pourrait permettre à un jeu malveillant, par exemple, d'espionner quelqu'un qui prend une pause pour aller sur le Web. Il est loin d'être parfait, mais il réduit les chances de deviner un code PIN numérique à quatre chiffres de un sur 10 000 à un sur 20, et augmente les chances de deviner un mot de passe à six lettres d'environ 500 000 fois, à environ un sur 500.

Interrogé sur l'étude, un porte-parole d'Emotiv a déclaré qu'une telle attaque ne serait pas pratique. Les utilisateurs deviendraient méfiants si un programme essayait de les guider à travers l'exercice de formation nécessaire pour que le logiciel puisse deviner les caractères qu'ils saisissent, et Emotiv approuve tous les logiciels qui se connectent à ses casques, a déclaré le porte-parole. Mais Alejandro Hernández, chercheur en sécurité chez IOActive, qui a examiné la sécurité du matériel EEG et des logiciels associés, considère que l'attaque de l'Alabama est réalisable à 100 %. Ses recherches ont indiqué que de nombreux logiciels EEG utilisés aujourd'hui ne sont pas bien conçus et sont facilement piratable.

Des chercheurs de l'Université de Washington ont démontré une autre façon d'extraire des informations privées à l'aide d'un casque EEG. Ils ont créé des jeux qui faisaient clignoter de manière subliminale des images telles que des logos de banque et notaient quand les ondes cérébrales d'une personne enregistraient une reconnaissance. Cela pourrait fournir des données précieuses pour les campagnes ou les publicités de phishing, ou même obtenir des informations sur l'orientation sexuelle d'une personne, dit Tamara Bonacci , chercheur impliqué dans les travaux.



Lire la suite La startup Neurable pense que son interface cerveau-ordinateur sera suffisamment rapide et précise pour jouer à des jeux en réalité virtuelle.

Le groupe de Washington affirme que l'une des motivations de ses recherches est la manière dont les entreprises ont collecté de manière agressive de vastes données sur l'utilisation du Web et des appareils mobiles par les utilisateurs, par exemple pour cibler les publicités.

Même sans accès aux données cérébrales, les entreprises recherchent déjà des indices émotionnels dans le texte pour évaluer les états émotionnels des gens, et documents divulgués au australien un journal montrent que Facebook a envisagé de cibler les publicités sur les adolescents en fonction de leurs émotions. Le mois dernier, un avocat et éthicien de l'Université de Zurich a appelé à l'élaboration de nouveaux cadres juridiques autour de la neurotechnologie, y compris un droit à la vie privée mentale.

Bonaci dit que les entreprises travaillant sur les casques EEG devraient s'attaquer à ces problèmes maintenant, car les enjeux augmentent à mesure que les progrès de l'apprentissage automatique aident les chercheurs à extraire de plus en plus de données EEG. Les améliorations ont été considérables au cours des dernières années, et je m'attends à ce que cela se poursuive, dit-elle.



cacher