Pendant ces deux ans de pandémie, des millions de personnes ont dû apprendre à utiliser divers outils de collaboration à distance. Même si les utilisateurs ne pensaient pas vraiment à leur sécurité, après la mise à jour massive de ces services, ils ont commencé à y faire plus attention. L’intérêt pour la sécurité des logiciels de visioconférence doit encore baisser, et c’est dans cette optique que les chercheurs de trois universités américaines ont publié une étude afin de déterminer si le bouton qui permet de désactiver le microphone, lorsque vous utilisez un de ces célèbres outils, remplit vraiment sa fonction. Les résultats sont très différents, mais une chose est sûre : il est temps de reconsidérer notre comportement pendant les appels professionnels.
D’où vient l’idée ?
L’idée est assez évidente. Si vous avez déjà utilisé Microsoft Teams, vous vous êtes certainement déjà retrouvé dans cette situation : vous désactivez votre microphone lorsque vous rejoignez un appel, vous commencez à parler alors que le son est coupé puis le programme vous rappelle que vous avez désactivé votre microphone. Il est évident qu’une telle fonctionnalité, certes utile, ne peut pas fonctionner si le microphone est déconnecté. Comment est-ce possible ? Le son du microphone est-il envoyé au serveur du fournisseur de la solution même lorsqu’il est désactivé ?
Ce sont certaines des questions que les auteurs de cette étude se sont posés. Comment vérifier ? Pour ce faire, les chercheurs ont analysé les subtilités de l’interaction du microphone de dix services, en examinant dans chaque cas les appels passés via le navigateur.
Les résultats de l’étude
En termes de vie privée, le client Web pourrait être la meilleure solution pour les visioconférences. Tous les services de visioconférence basés sur le Web ont été testés dans un navigateur utilisant le moteur open-source Chromium. C’est le cas de la plupart des navigateurs, dont Google Chrome et Microsoft Edge. Dans ce mode, tous les services doivent se conformer aux règles d’interaction du microphone fixées par les développeurs du moteur du navigateur. Ainsi, lorsque vous désactivez le microphone dans l’interface Web, le service ne devrait détecter aucun son. Les applications de bureau natives ont plus de droits.
Les chercheurs ont analysé comment et quand l’application interagit avec le microphone en comparant les données audio capturées par le microphone avec le flux d’informations envoyées au serveur. Ils ont découvert que les divers programmes ont un comportement différent. Voici ce qu’ils ont appris sur les services les plus populaires.
Zoom
Le service Zoom montre un comportement » décent « . Lorsque le microphone est désactivé, il ne capture rien de la transmission audio. En d’autres termes, il n’écoute pas ce qui se passe autour de vous. Cela étant dit, le service demande régulièrement des informations qui permettent de déterminer le niveau sonore à proximité du microphone. Dès qu’il y a du bruit, que vous commencez à parler ou autre, le client vous rappelle, comme d’habitude, que votre micro est désactivé.
Microsoft Teams
Un peu plus de choses sont impliquées en ce qui concerne le client natif Microsoft Teams : le programme n’utilise pas l’interface standard du système pour interagir avec le microphone et communique directement avec Windows. Ainsi, les chercheurs n’ont pas pu déterminer comment le service Teams gère le mode silencieux pendant un appel.
Cisco Webex
Le client Cisco Webex a le comportement le plus inhabituel. Unique parmi toutes les solutions testées, il traite constamment le son du microphone pendant l’appel, que le bouton soit activé ou désactivé dans l’application. Pourtant, après avoir étudié de plus près le client, les chercheurs ont découvert que Webex ne vous espionne pas. Lorsque le microphone est désactivé, le son n’est pas envoyé au serveur à distance, mais il transfère des métadonnées, dont le niveau sonore du signal.
À première vue, ça ne semble pas être un gros problème. Pourtant, uniquement sur la base de ces métadonnées, sans avoir accès au vrai flux audio, les chercheurs ont pu déterminer un certain nombre de paramètres basiques sur ce qui se passait du côté de l’utilisateur. Par exemple, ils ont pu savoir de façon assez fiable si l’utilisateur était connecté à un appel professionnel important, avait désactivé le microphone et la caméra, passait l’aspirateur dans l’appartement ou cuisinait, et si le chien aboyait. Ils ont aussi pu déterminer si d’autres personnes étaient présentes dans la pièce, notamment si l’appel était passé dans un lieu public. Cela est possible grâce à l’utilisation d’un algorithme similaire à celui de Shazam ou d’autres applications capables de reconnaître une chanson. Un ensemble de schémas est créé et comparé aux données capturées par le service Cisco Webex pour chaque » échantillon de bruit « .
Le niveau de confidentialité
L’étude donne quelques conseils pratiques et confirme un fait indéniable : vous n’avez pas le contrôle absolu sur les données collectées et sur comment elles sont obtenues. Une conclusion positive que l’on tire de ce rapport est qu’aucune criminalité n’a été découverte dans les opérations de ces célèbres outils de visioconférence. De nombreuses applications font très attention lorsqu’il s’agit d’utiliser le microphone.
Si, malgré ces résultats positifs, vous êtes toujours inquiet lorsque vous utilisez une application native sur votre ordinateur comme elle a un accès constant au microphone, vous pouvez simplement vous connecter via un client Web. Il est vrai que les fonctionnalités sont limitées, mais la confidentialité s’améliore : le bouton qui permet de désactiver le microphone déconnecte vraiment le microphone du service.
Vous pouvez aussi désactiver le microphone intégré dans votre ordinateur, ou celui de vos écouteurs. Le bouton des modèles haut de gamme isole généralement le microphone de l’ordinateur, sans passer par le programme.
Les outils de visioconférence ne sont pas le vrai danger ; il s’agit plutôt du malware qui peut espionner les victimes et envoyer les enregistrements d’importantes conversations à ses créateurs. Dans ce cas, vous devez avoir une solution de sécurité qui s’occupe des programmes indésirables mais aussi un outil qui vous permet de savoir qui a accès à votre microphone et quand, au cas où un programme légitime décide de le faire sans vous demander. Les solutions de Kaspersky pour les entreprises et pour les particuliers disposent d’une fonctionnalité séparée qui vous informe lorsqu’un programme essaie d’accéder à votre microphone ou à votre webcam.