Le bouton “Muet” dans les applications de conférence peut ne pas désactiver votre micro

Une nouvelle étude montre qu’appuyer sur le bouton de mise en sourdine des applications de visioconférence (VCA) populaires peut ne pas fonctionner comme vous le pensez, les applications écoutant toujours sur votre microphone.

Plus précisément, dans le logiciel étudié, le fait d’appuyer sur muet n’empêche pas l’audio d’être transmis aux serveurs des applications, que ce soit de manière continue ou périodique.

Étant donné que cette activité n’est pas documentée dans les politiques de confidentialité associées, les utilisateurs ont une mauvaise compréhension du fonctionnement du système de mise en sourdine, supposant à tort que l’entrée audio est coupée lorsqu’ils l’activent.

Ce malentendu se reflète dans la première phase de l’étude, qui s’articule autour d’un sondage auprès de 223 utilisateurs de VCA sur leurs attentes lorsqu’ils appuient sur muet.

La plupart des répondants (77,5 %) ont trouvé inacceptable que les applications continuent d’accéder au microphone et éventuellement de collecter des données lorsque le mode muet est actif.

L’étude a été menée par une équipe de chercheurs de l’Université du Wisconsin-Madison et de l’Université Loyola de Chicago, qui ont publié un article sur leurs résultats.

Quand muet n’est pas vraiment muet

Dans le cadre de l’étude, les chercheurs ont effectué une analyse binaire d’exécution approfondie des applications sélectionnées pour déterminer le type de données que chaque application collecte et si ces données constituent un risque pour la confidentialité.

Les applications testées dans cette phase de l’étude étaient Zoom, Slack, MS Teams / Skype, Google Meet, Cisco Webex, BlueJeans, WhereBy, GoToMeeting, Jitsi Meet et Discord.

Clients d'application testés
Clients VCA testés – Circle est une application Web
(wiscconfidentialité)

L’équipe a tracé l’audio brut transmis des applications au pilote audio du système d’exploitation sous-jacent, et éventuellement au réseau. De cette façon, ils pourraient déterminer quels changements se sont réellement produits lorsqu’un utilisateur appuie sur “muet”.

Ils ont constaté que, quel que soit le statut de mise en sourdine, toutes les applications collectaient occasionnellement des données audio, à l’exception des clients Web qui utilisaient la fonction de mise en sourdine du logiciel du navigateur.

Dans tous les autres cas, les applications échantillonnent l’audio par intermittence pour diverses raisons fonctionnelles ou peu claires.

Zoom, probablement l’application de visioconférence la plus populaire au monde, s’est avérée capable de suivre activement si l’utilisateur parle même lorsqu’il était en mode silencieux.

Flux de données audio VCA sous Windows 10
Flux de données audio VCA sous Windows 10 (wiscconfidentialité)

Selon l’étude, le pire des cas était Cisco Webex, qui continuait à recevoir des données audio brutes du microphone de l’utilisateur et les transmettait aux serveurs du fournisseur exactement de la même manière qu’il le faisait lorsqu’il était activé.

“Nos résultats suggèrent que, contrairement à la déclaration de la politique de confidentialité, Webex surveille, collecte, traite et partage avec ses serveurs les données dérivées de l’audio, tandis que l’utilisateur est mis en sourdine”, lit le document technique qui soutient l’étude.

“Pour informer Cisco des résultats de notre enquête, nous avons ouvert une divulgation responsable avec Cisco au sujet de nos conclusions. Depuis février 2022, leur équipe d’ingénierie Webex et leur équipe de confidentialité travaillent activement à la résolution de ce problème.”

Un problème de sécurité plus important ?

Même si l’aspect des fausses attentes des utilisateurs en matière de confidentialité est laissé de côté, plusieurs problèmes de sécurité découlent de ce comportement.

Même pour les applications qui collectent des données audio limitées lorsqu’elles sont en sourdine, les chercheurs ont découvert qu’il est possible d’utiliser ces données pour déchiffrer ce que l’utilisateur fait 82 % du temps, à l’aide d’un simple algorithme d’apprentissage automatique.

Cela concerne la classification approximative des activités telles que taper au clavier, cuisiner, manger, écouter de la musique, passer l’aspirateur, etc.

Clusters de données audio
Groupes de classification des données audio (wiscconfidentialité)

Même si les fournisseurs sécurisent leurs serveurs, cryptent les transmissions de données et que leurs employés respectent des accords anti-abus stricts, une attaque de l’homme du milieu peut entraîner une exposition inattendue pour la cible.

N’oubliez pas que les VCA sont utilisés par des dirigeants d’entreprise de haut rang, des membres des conseils de sécurité nationale et des politiciens de premier plan, de sorte que les fuites de données lorsque le mode muet est actif peuvent être très dommageables.

Que pouvez-vous faire?

Tout d’abord, lisez la politique de confidentialité pour mieux comprendre comment vos données sont gérées et quels risques sont impliqués dans l’utilisation d’un produit logiciel particulier.

Deuxièmement, si votre micro est connecté à votre ordinateur via un câble USB ou jack, autant le débrancher lorsqu’il est coupé.

Troisièmement, vous pouvez utiliser les paramètres de contrôle audio de votre système d’exploitation pour désactiver le canal d’entrée de votre microphone afin que toutes les applications reçoivent un son à volume nul.

Ce sont toutes des étapes fastidieuses pour la plupart des utilisateurs, mais pour les cas critiques, assurer une confidentialité ultime vaut bien l’effort supplémentaire.

Mise à jour du 15 avril – Un porte-parole de Cisco Webex a envoyé à Bleeping Computer la déclaration suivante sur les conclusions du rapport :

Cisco est au courant de ce rapport et remercie les chercheurs de nous avoir informés de leurs recherches.

Webex utilise les données de télémétrie du microphone pour indiquer à un utilisateur qu’il est mis en sourdine, appelée fonction de « notification de mise en sourdine ».

Cisco prend la sécurité de ses produits très au sérieux, et ce n’est pas une vulnérabilité dans Webex.

Leave a Comment