Même si les caméras sont éteintes, les programmes de vidéoconférence peuvent filtrer notre emplacement et le laisser exposé aux cybercriminels, selon une nouvelle étude. Les « échos » sonores introduits par les cybercriminels peuvent être analysés et utilisés pour localiser des personnes ou des installations, entre autres données importantes en termes de sécurité.
Des chercheurs de la Southern Methodist University (SMU), aux États-Unis, préviennent dans une nouvelle étude, présentée lors de la conférence IEEE Symposium on Security and Privacy (SP) 2025, que les applications de vidéoconférence, même avec les caméras éteintes et les arrière-plans virtuels, peuvent exposer les données critiques des utilisateurs en permettant à un attaquant de sonder leur emplacement et leur environnement physique, grâce à l’analyse des échos acoustiques.
Des millions de personnes exposées
La méthodologie consiste à introduire des sons brefs et contrôlés pendant l’appel ou la conférence et à analyser les émissions renvoyées, ou échos, pour déterminer les caractéristiques de l’espace, par exemple si la personne se trouve dans une maison, un bureau ou un véhicule. Les auteurs ont identifié deux variantes d’attaque : l’une dite « in-channel », qui cherche à contourner les systèmes d’annulation d’écho, et une autre dite « off-channel », qui camoufle les signaux malveillants derrière des bruits quotidiens ou habituels, comme les notifications.
Selon un communiqué de presse, les expériences ont été menées pendant six mois dans douze lieux différents. Selon les résultats, les attaquants peuvent reconnaître les contextes de localisation avec une précision allant jusqu’à 88 %, même lorsque l’utilisateur ne s’est jamais rendu à cet emplacement auparavant pendant les tests. L’étude a évalué des plateformes populaires, telles que Zoom : cela indique que des millions de personnes seraient exposées aux cybercriminels, car ces outils sont utilisés quotidiennement dans le monde pour travailler, étudier ou établir des relations sociales.
Mesures pour améliorer la sécurité
Qu’est-ce que cela signifie concrètement ? Que tout criminel pourrait déterminer quand une maison est vide, identifier des modèles de localisation ou divulguer des informations sur des installations sensibles. Les chercheurs préviennent que le système d’intrusion exploite les petites pauses lors de la parole ou les silences entre les interventions, c’est pourquoi il est difficile de réduire le risque uniquement en modifiant les habitudes d’utilisation.
Référence
Reniflage de la confidentialité de l’emplacement des utilisateurs de vidéoconférence utilisant des canaux audio gratuits. Chen Wang et Long Huang. Symposium IEEE 2025 sur la sécurité et la confidentialité (SP). DOI :https://doi.ieeecomputersociety.org/10.1109/SP61157.2025.00260
L’équipe propose plutôt des mesures techniques qui pourraient être déployées sur les serveurs des plateformes : des algorithmes qui détectent et suppriment les sons suspects avant de transmettre l’audio aux participants, ou des améliorations des encodeurs pour empêcher les modèles génératifs de reconstruire les échos supprimés. Les spécialistes estiment que si ces mesures sont mises en œuvre au niveau du service, elles pourraient réduire la capacité d’extraction d’informations sans affecter l’expérience utilisateur.
Pour l’instant, quelques pratiques simples peuvent aider : maintenir les applications à jour, utiliser des écouteurs qui minimisent les retours audio, éviter de partager des appels provenant d’emplacements sensibles ou qui compromettent les personnes ou les organisations, et exiger des politiques et des outils de protection plus stricts de la part des fournisseurs.