Quand le casque audio devient un micro espion

Dans quelle mesure les accessoires informatiques sans fil sont-ils protégés contre les attaques de hackers? Une nouvelle étude de l’Institut national de test pour la cybersécurité apporte des réponses.

Un exemple tiré de l’étude de l’Institut national de test pour la cybersécurité (NTC) montre à quel point une attaque peut être simple. Imaginez l’exploitant d’une infrastructure critique en train de tenir une vidéoconférence confidentielle. Le réseau est sécurisé, la connexion chiffrée, l’ordinateur portable protégé. Pourtant, depuis le parking voisin, un hacker capte à l’aide d’une antenne le trafic radio non chiffré du microphone sans fil posé sur la table de conférence et peut ainsi écouter toute la conversation.

«Surface d’attaque sous-estimée»

Il s’agit d’un scénario fictif, mais il est techniquement tout à fait réaliste. De nombreux périphériques sans fil transmettent des données par radio, parfois sans chiffrement ou avec une protection insuffisante.

Ces appareils représentent ce que l’on appelle une «surface d’attaque sous-estimée», à laquelle on prête peu d’attention dans les routines de sécurité quotidiennes, explique Tobias Castagna, responsable de l’équipe d’experts en tests du NTC. «Or, c’est précisément par ces appareils que des informations sensibles sont échangées. Les claviers servent à saisir des mots de passe, les casques à tenir des conversations confidentielles», explique-t-il.

Plus de 60 problèmes de sécurité constatés

Pour cette étude, l’Institut national de test pour la cybersécurité a soumis une trentaine d’appareils à une analyse de sécurité approfondie, parmi lesquels des claviers, des casques audio et des systèmes de conférence. Les spécialistes ont identifié plus de 60 problèmes de sécurité. Treize ont été jugés graves, trois critiques. Les résultats détaillés ont été transmis confidentiellement aux fabricants afin qu’ils puissent corriger les failles.

Dans son étude, le NTC conclut que les périphériques modernes destinés à un usage courant sont, dans l’ensemble, suffisamment protégés. «À condition qu’ils soient régulièrement mis à jour avec le dernier firmware», précise Tobias Castagna. «Les organisations ayant des besoins de protection élevés, comme les exploitants d’infrastructures critiques, ou les personnes exposées telles que les responsables politiques, les journalistes ou les avocats, devraient être conscientes des risques et agir en conséquence.»

Casques connectés à double

Les casques sans fil ne devraient par exemple pas être laissés sans surveillance. Beaucoup de ces écouteurs peuvent être appairés simultanément avec plusieurs appareils. Cette fonction est pratique — mais elle ouvre aussi la porte aux abus. «Un attaquant peut, dès qu’il a brièvement accès à l’appareil, ajouter un autre dispositif et, à partir de ce moment-là, écouter toutes les conversations», explique Tobias Castagna.

L’étude le montre: ce ne sont pas seulement les ordinateurs qui doivent être protégés, mais aussi ce que nous y connectons. Ceux qui veulent jouer la carte de la sécurité privilégieront des accessoires connectés par fil.

Traduit de l’allemand à l’aide d’un outil d’IA/dbu