Shoulder surfing – un danger sous-estimé ?

On se représente souvent les cybercriminels comme des nerds programmant des logiciels malveillants ou accédant de façon illégale à des systèmes informatiques de tiers pour voler des données sensibles. Cependant, il existe un moyen plus simple pour obtenir des données personnelles et des mots de passe : le shoulder surfing est une méthode simple consistant à espionner des victimes peu méfiantes afin de collecter des mots de passe, des codes PIN ou d’autres données d’accès. Dans cet article, nous vous expliquons ce qu’est exactement le shoulder surfing et comment vous protéger contre cette méthode d’espionnage en public.

Dans le shoulder surfing, les voleurs dérobent des données personnelles en surveillant leurs victimes lorsqu’ils utilisent des appareils électroniques au quotidien par ex. des distributeurs de billets, des terminaux de paiement en caisse voire des ordinateurs portables ou des smartphones. Pour ce faire, ils regardent littéralement « par-dessus l’épaule » de leur victime.

Il suffit d’observer nos modes d’utilisation pour voir à quel point il est simple de voler des données en public : nous utilisons régulièrement des smartphones, des tablettes ou des ordinateurs portables en présence d’autres personnes. Dans ce cadre, nous saisissons des mots de passe, des codes PIN, des noms d’utilisateur et d’autres données personnelles dans nos appareils sans prendre de précautions particulières. Il n’y a pourtant rien d’impossible à ce que quelqu'un nous observe à notre insu dans les lieux publics très fréquentés. Lorsque, pendant votre pause de midi, vous travaillez sur votre ordinateur portable dans un café animé, vous ne faites pas attention à la personne assise à la table derrière vous qui dispose d'une vue dégagée sur votre écran et qui regarde de très près lorsque vous saisissez vos mots de passe pour accéder à des comptes en ligne.

Dans de nombreuses situations, les « shoulder surfers » peuvent accéder sans difficulté à des données en profitant de l’anonymat qui règne dans les espaces publics. Par exemple, si vous saisissez vos informations de carte bancaire dans une boutique en ligne, un criminel peut voir les chiffres directement sur votre écran ou les déduire de vos empreintes sur l’écran.

Le shoulder surfing fait partie des méthodes d’ingénierie sociale qui visent à obtenir des informations confidentielles en usant d’influence sur les victimes. On distingue deux types de shoulder surfing.

D’une part, les attaques consistant à accéder à des données par une observation directe. Dans ce cadre, la personne observe directement par-dessus l’épaule de sa victime lorsqu’elle saisit, par exemple, son code de carte bancaire à une caisse.

Dans la seconde variante, les actions des victimes sont tout d’abord enregistrées dans une vidéo. Les criminels peuvent alors analyser cette dernière ultérieurement et obtenir ainsi les informations souhaitées. Grâce à des enregistrements vidéo, il est aujourd'hui possible de déterminer le code PIN permettant de déverrouiller des appareils mobiles alors même que l'écran n’est pas visible sur l’enregistrement. Les empreintes suffisent également à déterminer un code d’accès.

Lorsqu’un voleur accède aux données personnelles d’une victime, il existe un risque d’escroquerie et le voleur peut réaliser des achats au nom de la victime, retirer de l’argent ou opérer d’autres transactions. En France, l’espionnage et l’interception de données sont punis d'une amende et d’un an d’emprisonnement.

Outre les dommages pécuniaires, le shoulder surfing peut également entraîner de sérieux dommages aux entreprises : les personnes travaillant au contact du public et saisissant naïvement des informations de connexion pour des outils, des serveurs ou des comptes de messagerie s’exposent à ces criminels et mettent en péril la protection des données des clients, de leurs collègues ou de leurs employés.

Par principe, il est impératif de faire particulièrement attention lors de toute action privée ou professionnelle en public. Vous pouvez considérablement augmenter la sécurité de vos données en suivant quelques conseils fondamentaux.

Pour saisir un code PIN afin de payer avec une carte de crédit, les mesures suivantes se sont révélées particulièrement efficaces :

Conseil 1 : il est recommandé de couvrir le terminal de saisie avec votre autre main pendant la saisie de votre code PIN.

Conseil 2 : avant de procéder à un retrait sur un distributeur de billets, il convient tout d’abord de vérifier qu’il ne comporte pas d'élément mal fixé ou suspect. Une deuxième unité de lecture peut par exemple être placée avant le véritable lecteur de cartes et permettre au pirate de lire les bandes magnétiques et d’accéder ainsi aux données des cartes.

Conseil 3 : une autre possibilité consiste à utiliser le mode de paiement sans contact. Cette méthode n’imposant pas la saisie du code PIN, il sera impossible d’espionner les informations sensibles par un shoulder surfing.

Si vous êtes en présence d’autres personnes et que vous ne pouvez pas éviter de saisir des données sensibles sur un PC, une tablette ou un smartphone, il est recommandé de prendre les mesures de précaution suivantes :

Conseil 1 : avant de saisir des données sensibles, cherchez un endroit adapté. En vous asseyant le dos contre un mur, vous serez parfaitement protégé contre les regards indiscrets.

Conseil 2 : il est également conseillé d’utiliser un filtre de confidentialité, un transparent à placer sur votre écran. Grâce à ce filtre, l’écran apparaîtra noir pour toutes les personnes le regardant de biais. Ceci complique nettement la lecture des informations pour les personnes non autorisées.

Conseil 3 : en utilisant une authentification à double facteur, l’utilisateur prouve son identité en ayant recours à deux composantes différentes et indépendantes. L’authentification ne pouvant réussir que si les deux facteurs sont utilisés ensemble et de façon correcte, la protection ainsi obtenue est particulièrement élevée. Cette procédure est par exemple souvent utilisée dans les banques en ligne pour lesquelles l’identification est généralement effectuée en combinant un mot de passe (1^er facteur) et un TAN (2^e facteur) qui est généré à nouveau à chaque processus d’authentification.

Conseil 4 : une autre mesure consiste à utiliser un gestionnaire de mots de passe. De cette façon, vous n’aurez plus à saisir chaque mot de passe individuellement sur votre PC puisque le gestionnaire de mot de passe effectuera cette tâche pour vous après avoir saisi un mot de passe principal. Pour une personne non autorisée, il est ainsi impossible d’identifier votre mot de passe personnel à partir de vos saisies sur votre clavier, sous réserve que vous protégiez votre mot de passe principal de façon adéquate.