L'usage de WebRTC dans les applications de conférence audio/vidéo peut se faire pour le meilleur mais aussi pour le pire. Si les connexions de ce type sont créées pour permettre d'échanger des informations d'appel (codec, clé de chiffrement...) via le protocole Session Protocole (SDP), elles réservent aussi leur lot de surprise. Car certaines applications - comme FaceTime en son temps - partagent ces informations d'appel avant toute interaction de l'utilisateur, alors que d'autres « activent » cet échange uniquement lorsque la conversation est effective entre deux utilisateurs. Et il s'avère que dans certains cas, parmi ces informations on trouve tout bonnement les sons captés par le micro du smartphone de la personne appelée.
« Théoriquement, garantir le consentement de l'appelé avant la transmission audio ou vidéo devrait être une question assez simple consistant à attendre que l'utilisateur accepte l'appel avant d'ajouter des pistes à la connexion homologue », explique dans un billet de blog la chercheuse en sécurité Natalie Silvanovich de Project Zero. « Cependant, lorsque je regardais de vraies applications, elles permettaient la transmission de différentes manières. La plupart d'entre elles ont conduit à des vulnérabilités qui permettaient aux appels d'être connectés sans interaction de l'appelé ».
Telegram épargné par le bug d'espionnage d'appel
Dans le cas de FaceTime, Apple a fini par corriger ce bug embêtant, mais cela n'a apparemment pas servi d'exemple puisque de nombreuses applications de vidéoconférence n'ont pris aucune mesure pour empêcher l'exploit de ce bug. Avant de publier la liste des applications concernées, Natalie Silvanovich a toutefois pris soin d'informer les éditeurs qui en sont à l'origine afin qu'ils fassent le nécessaire pour palier cette délicate situation. Tous ont pris des mesures entre 2019 et 2020 pour mettre un terme à ce bug.
Parmi les applications touchées par ce bug, on retrouve ainsi Signal Messenger, Google Duo, Facebook Messenger ou encore JioChat et Mocha. Pour Google Duo, la fuite de données avant contact établi entre deux utilisateurs s'avérait sans doute encore plus problématique puisqu'elle permettait de transmettre des paquets vidéo... A noter que parmi les applications passées au crible de la chercheuse, ni Telegram, ni Viber, n'ont été concernées par ce fâcheux bug depuis largement circonscrit par les fournisseurs.
D'autres risques possibles
Tous ? Cela reste à confirmer : « La majorité des machines d'état appelantes sur lesquelles j'ai enquêté présentaient des vulnérabilités logiques qui permettaient de transmettre du contenu audio ou vidéo de l'appelé à l'appelant sans le consentement de l'appelé », résume Natalie Silvanovich. « Il est également préoccupant de noter que je n'ai examiné aucune fonctionnalité d'appel de groupe de ces applications, et que toutes les vulnérabilités signalées ont été trouvées dans des appels peer-to-peer. Un travail futur pourrait révéler des problèmes supplémentaires ».
Commentaire