Les pirates informatiques pourraient être en mesure de deviner vos mots de passe et bien plus encore en analysant la position de votre corps lors d’un appel de vidéoconférence, ont affirmé des experts.
Selon des chercheurs de l’Université du Texas à San Antonio, la façon dont les gens bougent les épaules lorsqu’ils tapent des appels Zoom peut trahir les touches sur lesquelles ils appuient, permettant aux pirates informatiques d’identifier potentiellement des entrées spécifiques.
L’équipe a constaté que lors de l’analyse des clips des mouvements de la partie supérieure du bras, ils pouvaient reconstruire les touches sur lesquelles les gens avaient appuyé sur Zoom avec une précision d’environ 93% – avec Skype et Google Hangouts (maintenant Google Chat) également affectés.
Sommaire
Zoom hack
« D’un point de vue de haut niveau, c’est une préoccupation, qui a évidemment été négligée pendant un certain temps », a déclaré l’auteur du rapport et professeur adjoint d’informatique à l’Université du Texas à San Antonio Murtuza Jadliwala.
«Et en fait, pour être vraiment franc, nous n’avons pas commencé ce travail pour COVID-19. Cela a pris un an … Mais nous avons commencé à réaliser dans COVID-19, quand tout [is in video chat], l’importance d’une telle attaque est amplifiée. »
Jadliwala a déclaré à Fast Company que le problème était dû à la qualité du flux utilisé dans les services de vidéoconférence, et en particulier au mouvement des pixels dans des flux de haute qualité tels que Zoom.
Son équipe a pu analyser les subtils déplacements de pixels autour des épaules de quelqu’un lors de la frappe pour repérer lorsque l’utilisateur se déplaçait dans l’une des quatre directions principales – nord, sud, est et ouest. Ceci est important car lors de la saisie d’un mot spécifique, un utilisateur se déplacera sur le clavier dans l’une de ces directions pour appuyer sur différentes touches.
En utilisant ces informations, les chercheurs ont pu créer un logiciel capable de croiser ces mouvements avec des «profils de mots» qui utilisaient un dictionnaire anglais pour transformer la séquence de mouvements en mots potentiels.
L’équipe a noté qu’elle avait pu découvrir ces résultats sans utiliser de technologie d’apprentissage automatique ou d’IA particulièrement sophistiquée, ce qui montre à quel point il pourrait être facile pour les pirates d’exploiter.
Ils ont rencontré des problèmes lors du test du logiciel, notant que dans un laboratoire, la précision moyenne était d’environ 75%. Le système semble également avoir du mal avec les manches longues plutôt que les manches courtes, et a parfois des problèmes avec les sujets qui avaient les cheveux longs couvrant leurs épaules. Les dactylographes lents étaient également étonnamment plus difficiles à suivre, et l’éclairage a également joué un rôle.
Cependant, Jadliwala était toujours désireux de noter que la vulnérabilité pourrait être étendue et exploitée, et a exhorté les fournisseurs tels que Zoom à s’assurer que ses utilisateurs sont protégés.
«Souvent, la manière responsable [security] la recherche fonctionne, si je trouve un problème avec Zoom ou le logiciel de Google, je ne vais même pas le publier. Je vais les contacter en premier », a-t-il noté. «Mais nos recherches ne sont pas spécifiques à Zoom ou à Google. Ils ne peuvent rien y faire au niveau du logiciel dans un certain sens.
Via Fast Company
