une faille permet de vous piéger dans une simulation malveillante

Quest 3 Meta


Les casques Meta Quest souffrent d’une faille de sécurité. Cette vulnérabilité permet de piéger le porteur dans une simulation malveillante en réalité virtuelle. L’attaque peut aboutir au vol d’une montagne de données personnelles et de l’argent stocké sur votre compte bancaire…

Des chercheurs de l’Université de Chicago ont découvert une faille de sécurité au sein des Quest, les casques de réalité virtuelle de Meta. Grâce à cette vulnérabilité, il est possible d’orchestrer une attaque baptisée « inception ». Cette appellation fait référence à l’idée d’implanter une pensée ou une expérience dans l’esprit de quelqu’un sans qu’il s’en rende compte, comme dans le film éponyme de Christopher Nolan. Comme l’explique l’étude, relayée par le MIT Technology Review, les utilisateurs « risquent de tomber facilement » dans « un nouveau type d’attaques ».

À lire aussi : Meta et LG travaillent sur un rival du Vision Pro dopé à l’IA, le Quest Pro 2

Une interface clonée

Afin d’orchestrer l’opération, les chercheurs se sont d’abord connectés au même réseau Wi-Fi que les casques VR visés. Ils ont ensuite déployé une application pour Meta Quest qui contient du code malveillant. Celle-ci va se faire passer pour l’interface du casque dans le but de berner le porteur. Cette app va cloner l’intégralité de l’interface, comme l’écran d’accueil, ou les applications installées sur le Quest. En clair, l’utilisateur sera persuadé qu’il navigue au sein du système d’exploitation du Quest, mais il sera piégé à l’intérieur de l’application malveillante.

Une fois la victime piégée dans cette simulation, « toutes les interactions de l’utilisateur avec les serveurs distants, les applications réseau et d’autres utilisateurs de réalité virtuelle peuvent être enregistrées ou modifiées à son insu ». Le pirate voit et entend tout ce qu’utilisateur fait dans le casque. C’est la porte ouverte à tous les vols de données. Par exemple, un pirate peut collecter vos mots de passe, espionner vos conversations avec « une application VRChat clonée », ou vous pousser à transférer de l’argent sur un compte bancaire. On peut imaginer qu’un cybercriminel lance une conversation factice, en imitant la voix ou le visage d’un proche avec un deepfake, pour vous demander de faire un virement d’urgence. Selon les chercheurs, l’attaque permet aussi de s’emparer de vos coordonnées bancaires sans la moindre difficulté.

La réalité virtuelle, une cible trop fragile ?

Pour démontrer la faisabilité de la cyberattaque, les chercheurs américains ont simulé une offensive sur 27 porteurs d’un casque de réalité virtuelle. Seuls 37 % des participants de l’étude se sont rendu compte qu’une attaque était en cours sur leur casque de réalité virtuelle. Il y a en effet un défaut d’affichage au moment où l’attaque débute. La plupart des participants, pourtant experts de la VR, ont attribué ce phénomène à un simple bug inoffensif. Pour Heather Zheng, professeure d’informatique à l’Université de Chicago, cette expérience met en lumière « la fragilité des systèmes de réalité virtuelle d’aujourd’hui » en matière de sécurité informatique.

Néanmoins, l’étude souligne qu’il est nécessaire que le mode développeurs soit activé sur le casque pour que l’attaque soit réalisable. Ce mode permet en effet de télécharger des applications tierces, ce qui est indispensable à l’opération. De facto, la grande majorité des utilisateurs d’un Quest ne risquent rien.

Bonne nouvelle, la faille identifiée dans les casques n’a pas encore été exploitée par des cybercriminels. Dans un communiqué adressé au MIT Technology Review, Meta laisse entendre que la brèche à l’origine de l’attaque sera examinée par ses soins. La firme de Mark Zuckerberg précise travailler « constamment avec des chercheurs universitaires dans le cadre de notre programme de bug bounty et d’autres initiatives ».

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source :

Arxiv



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.