Notre regard donnerait trop d’indices sur notre activité avec le casque Vision Pro d’Apple. Une équipe de six chercheurs des universités de Floride et du Texas a dévoilé le 12 septembre 2024 au magazine américain Wired une expérience réalisée sur le fameux casque de réalité mixte.
En se basant sur les mouvements des yeux et des mains de leur interlocuteur, les experts en cybersécurité ont pu identifier correctement les lettres tapées. Ils les ont identifiées pour un mot de passe 77 % du temps en cinq essais, et 92 % du temps pour les messages. Les essais ont été réalisés lors de visioconférences sur Zoom, Teams et FaceTime, mais cela peut aussi fonctionner sur n’importe quelle autre application d’appel vidéo.
Pour rappel, vos yeux font office de souris lorsque vous utilisez le Vision Pro. Pour saisir un texte, vous fixez un clavier virtuel flottant, que vous pouvez repositionner et redimensionner à votre guise. Une fois la lettre souhaitée ciblée par votre regard, il suffit de tapoter avec deux doigts pour valider la sélection.
Les chercheurs ont donc développé un programme d’intelligence artificielle pour analyser la fixation du regard et en déduire la lettre « tapée » par l’utilisateur sur le clavier virtuel. Ils ont ainsi pu recréer les frappes avec une précision impressionnante, récupérant des textes entiers après un appel vidéo. Un extrait de l’expérience a été mis en ligne sur YouTube.
Une correction apportée par Apple pour le Vision Pro
Bien que l’attaque ait été mise au point en laboratoire et n’ait pas encore été appliquée dans un contexte réel, les chercheurs pensent qu’il existe des scénarios dans lesquels des pirates pourraient exploiter cette vulnérabilité. En théorie, un criminel pourrait, par exemple, partager un fichier avec une victime lors d’un appel Zoom, l’incitant à se connecter à un compte Google ou Microsoft. L’attaquant pourrait alors enregistrer la visioconférence et utiliser cette technique pour récupérer le mot de passe et accéder au compte.
Ces recherches ont été envoyées à Apple. L’entreprise affirme avoir corrigé la faille dans une mise à jour logicielle du Vision Pro fin juillet, qui empêche le partage de l’avatar en direct si quelqu’un utilise le clavier virtuel. Les chercheurs confirment la correction d’Apple et recommandent aux utilisateurs de télécharger les dernières mises à jour logicielles.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
