Skip to main content

Une nouvelle faille difficilement corrigible permet de pirater vos appels vidéo

Zoom
(Crédit photo: Zoom)

La façon dont vous êtes assis lors d'une visioconférence pourrait permettre à un pirate informatique un peu malin de deviner vos mots de passe - et bien plus encore.

Selon une récente étude menée par les universités américaines du Texas et de l’Oklahoma, la façon dont vous remuer les épaules, lorsque vous saisissez votre teste sur l’application Zoom, certains hackers seraient capables de relier chaque mouvement à une touche précise du clavier. De telle manière qu’ils pourraient identifier précisément des expressions régulièrement tapées, comme vos mots de passe.

Les chercheurs impliqués ont analysé des séquences entières de mouvements du haut du bras, à partir desquelles ils ont pu reconstituer des mots ou suite de mots saisies sur Zoom, avec près de 93% de précision. Skype et Google Hangouts (maintenant Google Chat) sont également concernés par ce hack gestuel.

Se couvrir les épaules comme unique solution ?

« Nous avons commencé à analyser ce type de vulnérabilités bien avant l’apparition du Covid-19. Aujourd’hui, avec l’essor des outils de chat vidéo provoqué par la pandémie mondiale, c’est une préoccupation majeure », a déclaré l'un des auteurs du rapport, Murtuza Jadliwala. Ce dernier a expliqué au magazine Fast Company que l’amélioration fantastique de la qualité vidéo des services de visioconférence contribuait grandement à l’exploitation de cette faille.

L’équipe de M. Jadliwala a pu analyser les subtils déplacements de pixels autour des épaules d’un utilisateur cobaye et repérer leurs déplacements vers chaque point cardinal : nord, sud, est et ouest. En utilisant ces informations, les chercheurs ont pu créer un logiciel capable de croiser ces mouvements avec des « profils de mots », à partir d’un dictionnaire anglais, et transformer de multiples séquences gestuelles en mots potentiels.

Fait important : ces résultats ont pu être obtenus sans avoir recours à une technologie d'apprentissage automatique ou d'IA particulièrement sophistiquée, ce qui montre à quel point il serait facile pour n’importe quel hacker de les exploiter.

Le système semble toutefois rencontrer des difficultés avec les manches longues, et a parfois eu du mal à décrypter la gestuelle des sujets dont les cheveux longs couvraient les épaules. La qualité de l’éclairage constitue également un frein aux interprétations possibles.

M. Jadliwala a tenu à souligner que la vulnérabilité pouvait être étendue et exploitée, et a exhorté les éditeurs tels que Zoom à s'assurer que leurs utilisateurs seraient protégés à l’avenir face à ces nouvelles brèches.

Via Fast Company