Le diable se cache souvent dans le détail, en l’occurrence il se trouve dans les lunettes. En effet, des chercheurs de l'université du Michigan (États-Unis) et de l'université de Zhejiang (Chine) ont mis en évidence un risque d’accès aux données sensibles par les porteurs de lunettes. Quand ? lors de visioconférences, les reflets sur les verres pourraient montrer par inadvertance des informations critiques.
Dans un article diffusé via ArXiv intitulé « Private Eye : On the Limits of Textual Screen Peeking via Eyeglass Reflections in Video Conferencing », les chercheurs Yan Long, Chen Yan, Shilin Xiao, Shivan Prasad, Wenyuan Xu et Kevin Fu décrivent comment ils ont analysé la réflexion des écrans sur les lunettes. « Notre travail explore et caractérise les modèles de menaces viables basés sur des attaques optiques utilisant des techniques de haute résolution multiframe sur des séquences de trames vidéo », expliquent les experts dans leur article.
Un risque accru avec la hausse des résolutions des webcams
Dans leurs travaux, ils ont réussi à reconstruire et à reconnaître « avec une précision de plus de 75% des textes à l’écran dont la hauteur est aussi faible que 10 mm avec une webcam 720p ». Cela correspond à une taille de police 28 pt, couramment utilisée pour les titres et les rubriques. On peut les retrouver notamment dans des titres de présentations des diapositives de type Powerpoint. L’analyse des tailles de police 9 à 12 pt est pour l’instant impossible, mais la montée de résolution des webcams devrait l’autoriser. « Les futures caméras 4K seront capables de jeter un coup d’œil à la plupart des textes d’en-tête de presque tous les sites web et de certains documents textuels », précise Yan Long, qui a été interrogé par notre confrère The Register. Il rappelle néanmoins que ce type d’attaque est sensible à plusieurs paramètres comme la réflexion en fonction de la couleur de la peau du participant à la réunion, de l'intensité de la lumière ambiante, de la luminosité de l'écran, du contraste du texte avec l'arrière-plan de la page web ou de l'application, et des caractéristiques des verres de lunettes.
Il n’empêche le risque est bien réel, « les applications possibles de cette attaque vont de la gêne occasionnée dans les activités quotidiennes, par exemple lorsqu'un patron surveille ce que ses collaborateurs consultent au cours d'une réunion de travail vidéo, à des scénarios business où les reflets pourraient laisser échapper des informations clés liées aux négociations », précise le chercheur. Pour éviter cela, il existe des mesures d’atténuation, par exemple Zoom propose déjà un filtre vidéo dans le menu paramètres/Arrière-plan et Effets, qui bloque les reflets des lunettes avec une animation opacifiante. Mais Skype et Google Meet ne disposent pas de cette défense. Les chercheurs ont donc élaboré un programme pour brouiller les lunettes en temps réel en appliquant un filtre gaussien pour flouter la zone. Ce code Python est disponible sur GitHub.