Une équipe d’experts en cybersécurité a réussi à récupérer le texte et les mots de passe saisis par leur interlocuteur, en analysant les mouvements oculaires pendant un appel en visioconférence via l’Apple Vision Pro.

Notre regard donnerait trop d’indices sur notre activité avec le casque Vision Pro d’Apple. Une équipe de six chercheurs des universités de Floride et du Texas a dévoilé le 12 septembre 2024 au magazine américain Wired une expérience réalisée sur le fameux casque de réalité mixte.

En se basant sur les mouvements des yeux et des mains de leur interlocuteur, les experts en cybersécurité ont pu identifier correctement les lettres tapées. Ils les ont identifiées pour un mot de passe 77 % du temps en cinq essais, et 92 % du temps pour les messages. Les essais ont été réalisés lors de visioconférences sur Zoom, Teams et FaceTime, mais cela peut aussi fonctionner sur n’importe quelle autre application d’appel vidéo.

Un visage modélisé par Persona.
Le Vision Pro produit un avatar baptisé « Persona » que l’on apperçoit lors d’un appel en visio. // Source : Numerama

Pour rappel, vos yeux font office de souris lorsque vous utilisez le Vision Pro. Pour saisir un texte, vous fixez un clavier virtuel flottant, que vous pouvez repositionner et redimensionner à votre guise. Une fois la lettre souhaitée ciblée par votre regard, il suffit de tapoter avec deux doigts pour valider la sélection.

Les chercheurs ont donc développé un programme d’intelligence artificielle pour analyser la fixation du regard et en déduire la lettre « tapée » par l’utilisateur sur le clavier virtuel. Ils ont ainsi pu recréer les frappes avec une précision impressionnante, récupérant des textes entiers après un appel vidéo. Un extrait de l’expérience a été mis en ligne sur YouTube.

Une correction apportée par Apple pour le Vision Pro

Bien que l’attaque ait été mise au point en laboratoire et n’ait pas encore été appliquée dans un contexte réel, les chercheurs pensent qu’il existe des scénarios dans lesquels des pirates pourraient exploiter cette vulnérabilité. En théorie, un criminel pourrait, par exemple, partager un fichier avec une victime lors d’un appel Zoom, l’incitant à se connecter à un compte Google ou Microsoft. L’attaquant pourrait alors enregistrer la visioconférence et utiliser cette technique pour récupérer le mot de passe et accéder au compte.

Ces recherches ont été envoyées à Apple. L’entreprise affirme avoir corrigé la faille dans une mise à jour logicielle du Vision Pro fin juillet, qui empêche le partage de l’avatar en direct si quelqu’un utilise le clavier virtuel. Les chercheurs confirment la correction d’Apple et recommandent aux utilisateurs de télécharger les dernières mises à jour logicielles.

une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !