Peut-on extraire des données de votre cerveau ?

Pourrait-on vous amener à divulguer votre code bancaire simplement en vous faisant penser à lui ? L'activité électrique de votre cerveau peut-elle trahir vos secrets ? C'est la démonstration qu'ont accomplie des chercheurs lors de la récente conférence sur la sécurité informatique Usenix. Pour cela, ils ont utilisé un simple casque EEG (type Emotiv, disponible dans le commerce pour 500 $), qui mesure l'activité électrique du cerveau, une technologie qui n'avait jamais été étudiée sous l'angle de ses implications en matière de sécurité, rapportent Extreme Tech et Cnet.
L'étude (.pdf) des chercheurs (présentation en vidéo) menés par Ivan Martinovic du département des sciences informatiques de l'université d'Oxford, a consisté à créer un programme personnalisé conçu dans le but de vous faire penser à des données sensibles telles que l'emplacement de votre maison, le code secret de votre carte de crédit ou votre mois de naissance. Les chercheurs ont testé leur programme sur 28 participants coopératifs (même s'ils ne connaissaient pas le but de l'expérience) et les résultats ont montré que la fuite d'information provenant de l'utilisateur (la mesure de "l'entropie de l'information") apportait une réponse supérieure de 15 % à 40 % à une méthode aléatoire.
Les chercheurs se sont appuyés sur les ondes P300, un tracé d'ondes très spécifique qui se produit lorsque vous reconnaissez quelque chose qui a un sens (visage d'une personne connue) ou quelque chose qui convient à ce que vous êtes en train de faire (voir un marteau quand vous bricolez) et qui commence à être pris en compte dans les détecteurs de mensonges. L'exercice pour les cobayes consistait à observer des séries de photos défilant rapidement sur un ordinateur (des visages, des cartes géographiques, des photos de cartes bancaires, la liste des mois de l'année...) tout en leur posant des questions spécifiques et pour les chercheurs à observer celles qui déclenchaient une réponse du capteur.
Pour les chercheurs, des développeurs malveillants pourraient utiliser cette technologie, utilisée dans de plus en plus de jeux, pour créer un "logiciel espion de cerveau", une application incitant les joueurs à réfléchir à des informations sensibles qu'ils pourraient donc voler. Bien sûr, les résultats obtenus sont encore trop bruyants. "Les dispositifs utilisés ne sont pas faits pour détecter ce type de modèles", a souligné Martinovic. Cependant, l'expérience a montré que les résultats étaient meilleurs qu'une supposition purement aléatoire. En améliorant le camouflage de l'interrogatoire pour rendre l'utilisateur plus coopératif et la qualité des appareils de mesure, le taux de réussite pourrait certainement être amélioré.
Les chercheurs ont noté dans leurs conclusions qu'il était possible de diminuer le taux de réponse que votre cerveau donne malgré vous en se concentrant sur autre chose, par exemple en comptant les visages qui ne vous sont pas familiers... A l'inverse, ces techniques permettraient aussi de développer de nouvelles méthodes de sécurité, vous permettant par exemple d'accéder à vos données simplement en présentant sous vos yeux l'image d'un de vos amis.
Hubert Guillaud