On le sait depuis la Seconde Guerre mondiale au plus tard, lorsque les agents britanniques qui écoutaient les messages cryptés allemands transmis par morse arrivaient à identifier les opérateurs individuels, ce qui pouvait les aider à anticiper la façon dont se faisait la transmission et à déchiffrer les messages. Aujourd’hui aussi, la manière dont nous nous servons d’un clavier est un élément d’identification. Chacun enchaîne les frappes sur les touches d’un clavier d’une manière qui lui est propre. Des programmes pointus peuvent analyser en temps réel le temps passé sur chaque touche, les pauses que nous faisons entre les touches et d’autres paramètres, à la fraction de seconde près, et construire ainsi des profils de frappe uniques qui permettent d’identifier avec un degré de certitude remarquablement élevé un individu, non pas par ce qu’il écrit, mais par la manière dont il frappe les touches. Il ne s’agit pas d’un apprentissage qui prend des mois : une dizaine de minutes à l’écoute des frappes d’un individu suffit à établir son profil complet.
De manière positive, de tels profils peuvent servir à la sécurisation d’accès – on peut ainsi imaginer qu’ils constituent un élément d’identification venant s’ajouter aux moyens tels que mot de passe, jeton, dongle ou données biométriques (empreintes digitales, visage, rétine…), par exemple pour un contrôle d’identité post-accès susceptible de mettre l’utilisateur au défi de prouver son identité si son profil de frappe ne correspond pas à celui qui a été emmagasiné. Mais, plus inquiétant, ces profils de frappe peuvent aussi servir à identifier un internaute qui cherche à préserver son anonymat, en le repérant sur différents serveurs même s’il masque son adresse IP, par exemple en se servant du routeur TOR ou d’autres moyens d’anonymisation.
Comme les hackers n’aiment pas se laisser surprendre, tout un chacun peut d’ores et déjà se prémunir contre cette méthode sophistiquée qui n’aura sans doute pas laissé les agences de renseignement indifférentes. Une extension destinée au navigateur Chrome est proposée depuis peu sous le nom « Keyboard Privacy ». Ce plugin a été conçu pour anticiper la façon dont les grandes oreilles pourraient chercher à mettre à profit les profils de frappe. Lorsque l’utilisateur s’active sur son clavier, ce plugin emmagasine les frappes et les restitue suivant un profil généré au hasard, de façon à masquer le profil de frappe et rendre toute identification impossible. Comme ses auteurs admettent que des banques se servent d’ores et déjà de cette méthode pour ajouter une couche de sécurité à leurs dispositifs de web banking, le plugin permet de le désactiver pour des sites données (whitelisting).
Un tel dispositif peut paraître exagéré et paranoïaque. Mais, explique le consultant en sécurité de l’information Paul Moore, un des auteurs du plugin, cela fait quelques années que des progrès impressionnants ont été faits en matière d’identification par la frappe. Dès 2011, le professeur Christophe Rosenberger de l’université de Caen, spécialiste de biométrie, indiquait que quelques frappes suffisaient à identifier le sexe de la personne actionnant le clavier. A l’adresse behaviosec.com, une société suédoise propose aux internautes une démonstration en ligne : après la frappe de 44 caractères seulement, ce qui peut correspondre au début d’une séance de web banking par exemple, leur analyse permet d’identifier leur auteur à 99 pour cent avec un degré de confiance de 80 pour cent.
Ce ne sont pas que les agences gouvernementales qui peuvent être tentées de se servir d’un tel dispositif pour identifier des individus : dans l’absolu, les profils de frappe devraient aussi pouvoir servir dans des environnements commerciaux, en permettant à un site de retrouver un prospect qui s’est déjà rendu sur le site ou sur un site apparenté depuis une autre adresse. Difficile de savoir à ce stade si « Keyboard Privacy » permet vraiment de cacher les particularité de sa frappe, mais sa simple existence est déjà rassurante face aux oreilles intrusives.