Shoulder surfing – un danger sous-estimé ?

On se re­pré­sente souvent les cy­ber­cri­mi­nels comme des nerds pro­gram­mant des logiciels mal­veil­lants ou accédant de façon illégale à des systèmes in­for­ma­tiques de tiers pour voler des données sensibles. Cependant, il existe un moyen plus simple pour obtenir des données per­son­nelles et des mots de passe : le shoulder surfing est une méthode simple con­sis­tant à espionner des victimes peu méfiantes afin de collecter des mots de passe, des codes PIN ou d’autres données d’accès. Dans cet article, nous vous ex­pli­quons ce qu’est exac­te­ment le shoulder surfing et comment vous protéger contre cette méthode d’es­pion­nage en public.

Dans le shoulder surfing, les voleurs dérobent des données per­son­nelles en sur­veil­lant leurs victimes lorsqu’ils utilisent des appareils élec­tro­niques au quotidien par ex. des dis­tri­bu­teurs de billets, des terminaux de paiement en caisse voire des or­di­na­teurs portables ou des smart­phones. Pour ce faire, ils regardent lit­té­ra­le­ment « par-dessus l’épaule » de leur victime.

Il suffit d’observer nos modes d’uti­li­sa­tion pour voir à quel point il est simple de voler des données en public : nous utilisons ré­gu­liè­re­ment des smart­phones, des tablettes ou des or­di­na­teurs portables en présence d’autres personnes. Dans ce cadre, nous sai­sis­sons des mots de passe, des codes PIN, des noms d’uti­li­sa­teur et d’autres données per­son­nelles dans nos appareils sans prendre de pré­cau­tions par­ti­cu­lières. Il n’y a pourtant rien d’im­pos­sible à ce que quelqu'un nous observe à notre insu dans les lieux publics très fré­quen­tés. Lorsque, pendant votre pause de midi, vous tra­vail­lez sur votre or­di­na­teur portable dans un café animé, vous ne faites pas attention à la personne assise à la table derrière vous qui dispose d'une vue dégagée sur votre écran et qui regarde de très près lorsque vous saisissez vos mots de passe pour accéder à des comptes en ligne.

Dans de nom­breuses si­tua­tions, les « shoulder surfers » peuvent accéder sans dif­fi­culté à des données en profitant de l’anonymat qui règne dans les espaces publics. Par exemple, si vous saisissez vos in­for­ma­tions de carte bancaire dans une boutique en ligne, un criminel peut voir les chiffres di­rec­te­ment sur votre écran ou les déduire de vos em­preintes sur l’écran.

Le shoulder surfing fait partie des méthodes d’in­gé­nie­rie sociale qui visent à obtenir des in­for­ma­tions con­fi­den­tielles en usant d’influence sur les victimes. On distingue deux types de shoulder surfing.

D’une part, les attaques con­sis­tant à accéder à des données par une ob­ser­va­tion directe. Dans ce cadre, la personne observe di­rec­te­ment par-dessus l’épaule de sa victime lorsqu’elle saisit, par exemple, son code de carte bancaire à une caisse.

Dans la seconde variante, les actions des victimes sont tout d’abord en­re­gis­trées dans une vidéo. Les criminels peuvent alors analyser cette dernière ul­té­rieu­re­ment et obtenir ainsi les in­for­ma­tions sou­hai­tées. Grâce à des en­re­gis­tre­ments vidéo, il est au­jour­d'hui possible de dé­ter­mi­ner le code PIN per­met­tant de dé­ver­rouil­ler des appareils mobiles alors même que l'écran n’est pas visible sur l’en­re­gis­tre­ment. Les em­preintes suffisent également à dé­ter­mi­ner un code d’accès.

Lorsqu’un voleur accède aux données per­son­nelles d’une victime, il existe un risque d’es­cro­que­rie et le voleur peut réaliser des achats au nom de la victime, retirer de l’argent ou opérer d’autres tran­sac­tions. En France, l’es­pion­nage et l’in­ter­cep­tion de données sont punis d'une amende et d’un an d’em­pri­son­ne­ment.

Outre les dommages pé­cu­niaires, le shoulder surfing peut également entraîner de sérieux dommages aux en­tre­prises : les personnes tra­vail­lant au contact du public et sai­sis­sant naïvement des in­for­ma­tions de connexion pour des outils, des serveurs ou des comptes de mes­sa­ge­rie s’exposent à ces criminels et mettent en péril la pro­tec­tion des données des clients, de leurs collègues ou de leurs employés.

Par principe, il est impératif de faire par­ti­cu­liè­re­ment attention lors de toute action privée ou pro­fes­sion­nelle en public. Vous pouvez con­si­dé­ra­ble­ment augmenter la sécurité de vos données en suivant quelques conseils fon­da­men­taux.

Pour saisir un code PIN afin de payer avec une carte de crédit, les mesures suivantes se sont révélées par­ti­cu­liè­re­ment efficaces :

Conseil 1 : il est re­com­mandé de couvrir le terminal de saisie avec votre autre main pendant la saisie de votre code PIN.

Conseil 2 : avant de procéder à un retrait sur un dis­tri­bu­teur de billets, il convient tout d’abord de vérifier qu’il ne comporte pas d'élément mal fixé ou suspect. Une deuxième unité de lecture peut par exemple être placée avant le véritable lecteur de cartes et permettre au pirate de lire les bandes mag­né­tiques et d’accéder ainsi aux données des cartes.

Conseil 3 : une autre pos­si­bi­lité consiste à utiliser le mode de paiement sans contact. Cette méthode n’imposant pas la saisie du code PIN, il sera im­pos­sible d’espionner les in­for­ma­tions sensibles par un shoulder surfing.

Si vous êtes en présence d’autres personnes et que vous ne pouvez pas éviter de saisir des données sensibles sur un PC, une tablette ou un smart­phone, il est re­com­mandé de prendre les mesures de pré­cau­tion suivantes :

Conseil 1 : avant de saisir des données sensibles, cherchez un endroit adapté. En vous asseyant le dos contre un mur, vous serez par­fai­te­ment protégé contre les regards in­dis­crets.

Conseil 2 : il est également conseillé d’utiliser un filtre de con­fi­den­tia­lité, un trans­pa­rent à placer sur votre écran. Grâce à ce filtre, l’écran ap­pa­raî­tra noir pour toutes les personnes le regardant de biais. Ceci complique nettement la lecture des in­for­ma­tions pour les personnes non au­to­ri­sées.

Conseil 3 : en utilisant une au­then­ti­fi­ca­tion à double facteur, l’uti­li­sa­teur prouve son identité en ayant recours à deux com­po­santes dif­fé­rentes et in­dé­pen­dantes. L’au­then­ti­fi­ca­tion ne pouvant réussir que si les deux facteurs sont utilisés ensemble et de façon correcte, la pro­tec­tion ainsi obtenue est par­ti­cu­liè­re­ment élevée. Cette procédure est par exemple souvent utilisée dans les banques en ligne pour les­quelles l’iden­ti­fi­ca­tion est gé­né­ra­le­ment effectuée en combinant un mot de passe (1^er facteur) et un TAN (2^e facteur) qui est généré à nouveau à chaque processus d’au­then­ti­fi­ca­tion.

Conseil 4 : une autre mesure consiste à utiliser un ges­tion­naire de mots de passe. De cette façon, vous n’aurez plus à saisir chaque mot de passe in­di­vi­duel­le­ment sur votre PC puisque le ges­tion­naire de mot de passe ef­fec­tuera cette tâche pour vous après avoir saisi un mot de passe principal. Pour une personne non autorisée, il est ainsi im­pos­sible d’iden­ti­fier votre mot de passe personnel à partir de vos saisies sur votre clavier, sous réserve que vous protégiez votre mot de passe principal de façon adéquate.