Il ya quelques jours un groupe de chercheurs des universités de Padoue (Italie) et de Delft (Pays-Bas) dévoilé en publiant des informations sur une méthode d'utilisation de l'apprentissage automatique pour recréer un code PIN entré à partir d'un enregistrement vidéo d'une zone d'entrée à un guichet automatique couvert par une main.
Lors de la saisie d'un code PIN à 4 chiffres, la probabilité de prédire le bon code est estimée à 41 %, étant donné la possibilité de faire trois tentatives avant de bloquer. Pour les codes PIN à 5 chiffres, la probabilité de prédiction était de 30 %.
De plus, une autre expérience a été menée dans laquelle 78 volontaires ont essayé de prédire le code PIN à partir de vidéos enregistrées similaires. Dans ce cas, la probabilité d'une prédiction réussie était de 7,92 % avec trois tentatives.
Dans la description de la méthode utilisée, il est mentionné que Lorsque le panneau numérique du guichet automatique est recouvert de la paume de la main, la partie de la main saisie reste découverte, Que lo est suffisant pour prédire les clics changer la position de la main et le déplacement des doigts pas complètement couverts.
Les guichets automatiques représentent les plus utilisés dans le système de retrait d'espèces. La Banque centrale européenne a signalé plus de 11 milliards de retraits d'espèces et de transactions de téléchargement / téléchargement dans les guichets automatiques européens en 2019.
Bien que les guichets automatiques aient connu diverses évolutions technologiques, les numéros d'identification personnels (PIN) restent les méthodes d'authentification les plus courantes pour ces appareils.Malheureusement, le mécanisme PIN est vulnérable aux attaques effectuées par le biais de caméras cachées installées près du guichet automatique pour piéger le clavier.
Lors de l'analyse de l'entrée de chaque chiffre, le système exclut les touches sur lesquelles il n'est pas possible d'appuyer, en tenant compte de la position de la main couvrante, et il calcule également les variantes de pression les plus probables en fonction de la position de la main pressante, par rapport à l'emplacement des touches. Pour augmenter la probabilité de détecter une entrée, un clic peut également être enregistré, ce qui est légèrement différent pour chaque touche.
L'expérience a utilisé un système d'apprentissage automatique basé sur l'application d'un réseau neuronal convolutif (CNN) et d'un réseau neuronal récurrent basé sur l'architecture LSTM (Long Short Term Memory). CNN était responsable de l'extraction des données spatiales pour chaque image, et LSTM a utilisé ces données pour extraire des modèles qui varient dans le temps. Le modèle a été formé sur des enregistrements vidéo de saisie de code PIN par 58 personnes différentes en utilisant les méthodes de couverture de saisie choisies par les participants (chaque participant a saisi 100 codes différents, soit 5800 exemples de saisie ont été utilisés pour la formation). Au cours de la formation, il a été révélé que la plupart des utilisateurs utilisent l'un des trois principaux moyens de masquer l'entrée.
Pour former le modèle d'apprentissage automatique, un serveur basé sur un processeur Xeon E5-2670 avec 128 Go de RAM et trois cartes Tesla K20m avec 5 Go de mémoire chacune ont été utilisés. La partie logicielle est écrite en Python à l'aide de la bibliothèque Keras et de la plateforme Tensorflow. Étant donné que les panneaux d'entrée ATM sont différents et que le résultat de la prédiction dépend de caractéristiques telles que la taille de la clé et la topologie, une formation distincte est requise pour chaque type de panneau.
Comme mesure pour se protéger contre la méthode d'attaque proposée, il est recommandé d'utiliser des codes PIN à 5 chiffres au lieu de 4 si possible, et essayez également de couvrir la majeure partie de l'espace d'entrée avec votre main (La méthode est toujours efficace si environ 75 % de la zone d'entrée est couverte à la main). Il est recommandé aux fabricants de guichets automatiques d'utiliser des écrans de protection spéciaux qui masquent l'entrée, ainsi que des panneaux d'entrée non mécaniques mais tactiles, la position des chiffres dans laquelle elle change de manière aléatoire.
Enfin, si vous souhaitez en savoir plus, vous pouvez consulter les détails dans le lien suivant.