Est-ce que ma webcam et mon micro m’espionnent ?

Est-ce que ma webcam et mon micro m’espionnent ?

De nombreux hackeurs, lorsqu’ils réussissent à pirater vos ordinateurs, tentent de les utiliser pour vous espionner. Que ce soit dans le but de monétiser les informations acquises, effectuer de l’espionnage industriel, surveiller une personne ou dans un but pervers, les hackeurs utilisent les périphériques de nos appareils pour voler des informations dans le monde réel.

Les webcams sont installées sur la quasi-totalité des ordinateurs portables et smartphones. Ces webcams peuvent être activées non seulement par un programme ou un virus installé sur l’ordinateur, mais aussi par un navigateur web. Dans le passé, de nombreuses vulnérabilités dans Flash et Java ont permis à des sites web malveillants ou infectés d’activer la webcam sans demander l’autorisation à l’utilisateur ; vraisemblablement, le même type de vulnérabilité existe dans HTML5, utilisé par tous les navigateurs et sites web modernes.

Les accès aux webcams sont donc des proies pour les hackeurs, de même que les mots de passe, numéros de carte de crédit et accès aux e-Banking ; c’est pour cela qu’ils sont systématiquement exploités par les hackeurs lorsqu’ils prennent le contrôle d’un appareil.
À titre d’exemple, il y a quelques années, un pirate a pris le contrôle de la webcam de Miss Teen USA, et a capturé des photos d’elle pendant qu'elle se déshabillait dans sa chambre. Le hackeur a ensuite contacté la jeune femme et l’a menacée de publier les photos sur ses comptes de réseaux sociaux à moins qu'elle lui en envoie d’autres, ou qu’elle se déshabille pour lui sur Skype. Cet incident n’est pas unique : le malware Blackshades, spécialisé dans l’espionnage de webcam, a été vendu à près de 10'000 personnes qui ont pu à leur tour infecter des centaines, voir des milliers de victimes chacun.
Il est même possible d’acheter sur le dark web des accès à des webcams d’ordinateurs portables déjà infectés appartenant à des femmes pour seulement 1$.
Les hackeurs peuvent également sévir dans un but pécuniaire, en demandant une rançon pour éviter l’envoi de photos personnelles ou incriminantes aux contacts de la victime. Je suis régulièrement approché par des personnes subissant des menaces de ce type.

Dans le but de protéger la vie privée, les webcams sur les ordinateurs sont dotées d’une petite lumière qui s’allume lorsque la webcam est activée. Ce processus avertit l’utilisateur que le périphérique est utilisé, lui permettant de choisir ce qu’il veut présenter à la webcam ou d’arrêter le programme qui l’utilise. Malheureusement, ce système n’est pas très bien rodé : de nombreux malwares arrivent à désactiver la lumière à côté de la webcam lorsque celle-ci est utilisée, rendant cette notification précieuse caduque et inutile.
Encore plus préoccupant, sur les smartphones il n’y a aucune lumière pour indiquer l’utilisation des caméras (avant ou arrière). La seule option de sécurité existante, que ce soit sur iOS ou Android, est de demander, à priori, l’autorisation d’accès à la caméra avant de pouvoir l’utiliser. Toutefois, ce processus n’est pas toujours efficace, car une autorisation unique permet à l’application d’accéder sans préavis à la webcam dans le futur. Par exemple, si vous autorisez une application à utiliser votre caméra pour scanner un QR code, cette application pourra accéder à nouveau à la caméra et vous espionner, sans aucune notification.
Les webcams et caméras peuvent aussi transmettre des éléments additionnels, autres que l’image... Elles sont aptes à voir les mouvements de vos yeux, permettant ainsi de détecter les éléments qui vous intéressent à l’écran, analyser vos micro-expressions pour en déceler vos émotions et même calculer votre rythme cardiaque. Ces données peuvent trahir des informations très personnelles et sensibles sur votre état de santé ainsi que les préférences individuelles ou des secrets professionnels.

Les micros

Les webcams ne sont pas les seuls périphériques piratés de cette manière. La majorité de nos appareils électroniques possèdent un microphone qui peut être tout aussi facilement exploité et abusé. Que ce soit nos ordinateurs sur une table, smartphones dans nos poches, téléphones VoIP sur chaque bureau et dans la salle de conférence, interphones d’immeuble à côté de la porte d’entrée et Smart TV dans nos salons, tous ces appareils possèdent des micros et tous ces appareils sont susceptibles d’être piratés. Les conversations confidentielles au travail et personnelles à la maison peuvent être espionnées à travers les appareils qui nous entourent. De plus, nombreux de ces appareils ont en permanence le microphone activé dans l’attente d’instructions telles que « Hey Siri », « OK Google » ou « Alexa », simplifiant grandement le travail d’un hackeur et augmentant la surface d’attaque.
Les micros peuvent eux aussi récupérer bien plus que les contenus de nos conversations ; un micro peut détecter la présence dans une salle ainsi que définir le nombre de personnes et découvrir leurs habitudes. Les hackeurs ont réussi à deviner des mots de passe basés sur les sons émis par les touches du clavier.  
Ce problème ne se limite pas au microphone : des chercheurs ont réussi à modifier des systèmes afin de pouvoir convertir un haut-parleur en micro, pour ensuite l’utiliser comme appareil-espion en enregistrant des sons à travers le haut-parleur

Comment vous protéger ?

James Comey, ancien directeur du FBI, recommande aux utilisateurs de couvrir leurs webcams avec du scotch. Nous avons pu observer des photos de Mark Zuckerberg avec la webcam et le micro de son Mac recouverts de papier adhésif.
Bloquer physiquement la webcam de son ordinateur est simple, efficace et le résultat est visible. Il y a aussi de nombreuses marques d’ordinateur qui ont un clapet devant la webcam pour contrôler son utilisation. Malheureusement, cette méthode de protection ne fonctionne pas avec les micros, et y placer du scotch dessus (même doublé) n’atténue pas la qualité audio. Pour bloquer un micro il est recommandé de mettre une prise jack audio sectionnée dans le port micro de l’ordinateur ou du smartphone (cette technique ne fonctionne pas systématiquement).
Il existe certaines applications comme OverSight et GlassWire qui peuvent vous alerter lorsque vos périphériques webcam et micro sont utilisés.
Une autre option, physiquement moins visible, est de désactiver les périphériques (webcam et Micro) directement dans le système ou dans le Bios (ces techniques non plus ne fonctionnent pas systématiquement).

Concernant les smartphones, les meilleures pratiques recommandent aux utilisateurs de faire attention aux autorisations données et de révoquer l’autorisation si l’application n’en a plus besoin. La prochaine version d’Android, par exemple, empêchera à une application qui n’est pas active d’utiliser la caméra. 

De façon générale et comme toujours, la sécurité se compose de plusieurs couches de protection, censées bloquer des attaques : prêtez attention aux liens sur lesquels vous cliquez, aux applications que vous installez et aux privilèges que vous donnez ; gardez votre ordinateur à jour avec un bon antivirus et firewall ; désactivez les drivers de votre webcam et de votre micro ; recouvrez votre webcam avec du scotch et mettez un jack sectionné dans votre entrée audio.

En fin, vous pouvez toujours éteindre ou éloigner vos appareils électroniques lors de vos moments intimes ou conversations confidentielles…

Tweets de ZENData

RT @dlitchfield: Oracle are fixing 302 vulnerabilities tomorrow, many with a CVSS score of 10 or 9.8... Order you coffee and pizzas now. ht…
RT @MikaelThalen: Kanye West's iPhone passcode: 0-0-0-0-0-0 https://t.co/D7Gfkc9U9I
RT @EFF: BREAKING: #NetNeutrality is now law in California. https://t.co/yF5L33UXPF
RT @TheHackersNews: Google security researcher discloses details and PoC exploit for a new #Linux Kernel vulnerability (CVE-2018-17182) ht…
RT @SparkZheng: iOS 12 Jailbreak on iPhone XS by @PanguTeam ! Bypass PAC mitigation on the new A12 chip. That's amazing!!!👏👏👏 https://t.co/

Nous animons aussi le blog de cyber-sécurité du magazine Bilan. Retrouvez nos articles sur leur site: www.bilan.ch/steven-meyer

Contact

ZENData - Cyber-sécurité

Informations

Contactez-nous pour une analyse gratuite de vos besoins en sécurité ou pour des renseignements sur nos services, solutions et produits.

ZENData Sarl

Téléphone: +4122 588 65 90

Email:

Adresse: 114 rue du Rhône, 1204 Genève, Suisse


LinkedIn: linkedin.com/company/zendata

Twitter: twitter.com/ZenDataSec

Facebook: facebook.com/zendataSec

Google+: plus.google.com/+ZendataCh

Contactez-nous

7+15=

Souhaitez-vous vous inscrire à notre newsletter mensuelle ?

Vous y trouverez nos articles, l’actualité, des conseils et des informations importantes liées à la cyber-sécurité.