Les avancées technologiques des dernières décennies ont permis des innovations impressionnantes, mais elles ont également ouvert la porte à des menaces croissantes en matière de cybersécurité. Une récente démonstration sur un ordinateur ThinkPad X230 a mis en lumière un problème inquiétant : un malware capable de désactiver la LED d’une webcam tout en enregistrant des vidéos à l’insu de l’utilisateur. Cet exploit, bien que sophistiqué, souligne les failles potentielles dans les dispositifs de sécurité des appareils informatiques. Comme tout dispositif connecté, la webcam peut être piratée par des hackers qui pourraient alors s'en servir pour surveiller les activités d'un individu. Bien sûr, personne ne veut être surveillé par un étranger, encore moins dans des situations embarrassantes.
Pour prévenir cette situation, des personnalités comme Mark Zuckerberg ont choisi l'option la plus drastique : recouvrir d'un cache la caméra (dans le cas de Mark Zuckerberg, il obstrue également l'entrée micro de son ordinateur portable par de la bande adhésive).
Liam O'Murshu, directeur de la sécurité chez Symantec explique que « ce n'est pas de la paranoïa. Nous voyons des cas où des gens vont pénétrer votre ordinateur, pirater votre caméra et regarder ce que vous faites. Et pas seulement sur votre ordinateur, sur tout ce qui a une caméra, même celle que vous utilisez pour surveiller votre enfant ou vos caméras de sécurité à la maison. Les hackers peuvent s'y introduire et voir ce qui se passe dans vos maisons. Vous devriez donc probablement obstruer votre caméra si vous avez des inquiétudes à ce sujet ».
Mais Apple ne l'entend pas de cette oreille. En 2020, l'entreprise a mis les détenteurs de ses appareils en garde contre ce genre de pratique. Dans un billet sur sa plateforme d'aide, l'éditeur a indiqué aux utilisateurs qu'ils peuvent simplement surveiller le voyant vert de la caméra : « Les produits Apple sont conçus pour protéger votre vie privée et vous permettent de contrôler vos données personnelles. Nos produits et fonctionnalités sont dotés de technologies innovantes conçues pour protéger votre confidentialité et limiter l’accès à vos données, y compris pour Apple. Grâce à leurs fonctionnalités de sécurité puissantes, personne d’autre que vous n’a accès à vos données. La caméra FaceTime HD intégrée à votre ordinateur Mac est conçue pour protéger votre vie privée : le voyant vert s’allume lorsque votre caméra est active. Ainsi, vous saurez toujours lorsque votre caméra est allumée. La caméra est conçue de telle sorte que le voyant vert s’allume systématiquement à l’activation de la caméra. Vous savez donc toujours quand votre caméra est active. »
Concernant l'argument selon lequel le voyant vous informe quand la caméra est activée, rappelons qu'en décembre 2013 le Washington Post a rapporté qu'une jeune femme témoignait avoir reçu des photos volées prises par sa propre webcam alors même que le voyant de sa caméra n'avait pas été activé. Il existe en effet des logiciels, comme iSeeYou, qui permettent de faire tout cela. Un programme du GCHQ (le renseignement britannique) a par ailleurs permis d'espionner 1,8 million d'utilisateurs du service Yahoo selon une information révélée en février 2014.
Démonstration sur le ThinkPad X230
Le ThinkPad X230, un ordinateur portable populaire de Lenovo datant de 2012, est connu pour sa robustesse et son adoption massive, notamment dans les environnements professionnels. Bien qu’il s’agisse d’un modèle ancien, il reste un excellent candidat pour illustrer des failles potentielles, car sa conception repose sur des architectures matérielles et logicielles similaires à celles d’autres appareils encore en circulation.
Les webcams intégrées dans ces ordinateurs, comme celles de nombreux autres modèles, sont équipées d’une LED qui s’allume pour avertir l’utilisateur lorsqu’elles sont actives. Ce voyant est censé garantir une transparence totale sur l’utilisation de la caméra, empêchant tout enregistrement furtif. Cependant, l'exploit présenté montre que ce mécanisme peut être contourné.
Le fonctionnement de l’exploit
Un chercheur en cybersécurité a démontré comment un malware conçu sur mesure peut manipuler le micrologiciel (firmware) de la webcam pour désactiver la LED sans empêcher l’enregistrement vidéo. Voici comment cela fonctionne en plusieurs étapes techniques :
- Injection de code malveillant : L’attaque commence par l’insertion d’un logiciel malveillant sur l’ordinateur, souvent via des vecteurs classiques tels que des courriels d’hameçonnage, des téléchargements infectés ou des failles non corrigées dans le système.
- Exploitation du micrologiciel : Le malware cible spécifiquement le firmware de la webcam. Ce micrologiciel gère le fonctionnement matériel de la caméra, y compris l’allumage de la LED. Dans certains modèles, la LED et l’enregistrement vidéo ne sont pas rigoureusement interconnectés, ce qui laisse une marge d’exploitation.
- Manipulation des commandes : Une fois que le malware a pris le contrôle du firmware, il peut éteindre la LED tout en activant le capteur de la caméra. L’utilisateur est alors filmé sans en avoir conscience.
- Exfiltration des données : Les vidéos enregistrées sont ensuite envoyées à un serveur distant contrôlé par l’attaquant, où elles peuvent être utilisées à des fins malveillantes, telles que l’espionnage, le chantage ou l’usurpation d’identité.
Envoyé par chercheurLa webcam utilisée sur le ThinkPad X230 (et quelques autres ordinateurs portables de la même époque) est basée sur le contrôleur de caméra USB Ricoh R5U8710. Ce contrôleur stocke une partie de son micrologiciel, la partie SROM, sur la puce flash SPI située sur la carte de la webcam. Le contrôleur permet également de recharger le contenu de la puce SPI via USB.
La LED de la carte webcam X230 est connectée à la broche GPIO B1 du contrôleur R5U8710. Le port GPIO B est mappé à l'adresse 0x80 dans l'espace mémoire XDATA du CPU 8051 à l'intérieur du R5U8710. Ainsi, le changement de la valeur à cette adresse modifie l'état de la DEL. Cela fonctionne indépendamment du fait que la webcam soit en train de diffuser de la vidéo ou non.
Les outils fournis dans ce dépôt permettent de flasher un micrologiciel personnalisé à l'aide d'un « implant universel » contrôlé par USB sur la puce SPI de la carte de la webcam. Cet implant permet d'écrire des données contrôlées à des adresses arbitraires (dans l'espace mémoire XDATA) et d'appeler des adresses arbitraires (dans l'espace mémoire CODE ; aliasé avec XDATA à partir de l'offset 0xb000).
L'implant universel peut être utilisé pour
La LED de la carte webcam X230 est connectée à la broche GPIO B1 du contrôleur R5U8710. Le port GPIO B est mappé à l'adresse 0x80 dans l'espace mémoire XDATA du CPU 8051 à l'intérieur du R5U8710. Ainsi, le changement de la valeur à cette adresse modifie l'état de la DEL. Cela fonctionne indépendamment du fait que la webcam soit en train de diffuser de la vidéo ou non.
Les outils fournis dans ce dépôt permettent de flasher un micrologiciel personnalisé à l'aide d'un « implant universel » contrôlé par USB sur la puce SPI de la carte de la webcam. Cet implant permet d'écrire des données contrôlées à des adresses arbitraires (dans l'espace mémoire XDATA) et d'appeler des adresses arbitraires (dans l'espace mémoire CODE ; aliasé avec XDATA à partir de l'offset 0xb000).
L'implant universel peut être utilisé pour
- Charger dynamiquement un implant de deuxième phase dans la mémoire du contrôleur de caméra et l'exécuter (utilisé à l'origine à des fins de rétro-ingénierie) ;
- Contrôler directement la LED de la webcam.
Pourquoi cette faille est-elle si alarmante ?
L’attaque démontrée sur le ThinkPad X230 soulève plusieurs inquiétudes majeures :
[LIST][*]Violation de la vie privée : Le fait que la LED puisse être désactivée élimine le seul indice visuel dont dispose l’utilisateur pour détecter une activité non autorisée. Cela facilite l’espionnage et compromet gravement la vie privée.[*]Persistance du problème : Bien que le X230 soit un modèle ancien, de nombreux appareils modernes utilisent des architectures similaires. Si une telle vulnérabilité existe dans un modèle plus ancien, il est probable que des variantes puissent être trouvées dans des appareils récents.[*]Complexité des[/*]...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
