"Attaque d'inception": comment des chercheurs ont pris le contrôle de casques de réalité virtuelle à distance

De la fiction à la réalité. Dans le film Inception, le personnage interprété par Leonardo DiCaprio utilise une technologie pour pénétrer dans les rêves de ses victimes afin de leur voler des informations et d’en insérer de fausses dans leur subconscient. Des chercheurs de l’université de Chicago sont parvenus à faire quelque chose qui y ressemble, avec les utilisateurs des casques Meta Quest.

Dans leur étude, publiée le 8 mars sur le site de prépublication arXiv et partagée avec le magazine américain MIT Technology Review, ils expliquent avoir exploité une faille de sécurité dans le "mode développeur" des Meta Quest. Les utilisateurs sont obligés d’activer celui-ci pour télécharger des applications tierces, effectuer des captures d’écran ou encore ajuster la résolution de leur casque, ce qu’ils sont nombreux à faire d’après les chercheurs.

Le problème, c’est que des attaquants peuvent accéder au casque d’un utilisateur s’ils utilisent le même réseau Wi-Fi avec ce mode. Il est en effet censé permettre un accès à distance à des fins de débogage, qui être utilisé par un acteur malveillant pour voir à quoi ressemblent l’écran d’accueil d’un utilisateur et les applications installées, et ensuite les répliquer.

"Attaque d'inception"

A partir de là, les chercheurs ont piégé des utilisateurs avec ce qu’ils appellent une "attaque d’inception", lors de laquelle "un attaquant contrôle et manipule l’interaction d’un utilisateur avec son environnement et ses applications de VR, en le piégeant dans une application de VR malveillante qui se fait passer pour le système de VR complet".

"Alors que l’utilisateur pense interagir normalement avec différentes applications de VR, il interagit en fait dans un monde simulé, où tout ce qu’il voit et entend a été intercepté, relayé et éventuellement modifié par l’attaquant", indiquent-ils.

Une fois l’utilisateur piégé, les attaquants seraient en mesure de voir, enregistrer et modifier tout ce qu’il fait avec le casque (suivi de la voix, des gestes, des interactions sociales, etc.). Les chercheurs ont par exemple pu voir quand un utilisateur a saisi ses identifiants de connexion sur un site bancaire et manipuler son écran pour afficher un solde incorrect. Alors qu’il tentait de payer un dollar par l’intermédiaire du casque, ils ont modifié le montant transféré, qui est passé à 5 dollars sans qu’il ne s’en rende compte car ils pouvaient aussi contrôler ce qu’il voyait.

Les attaquants pourraient aussi faire vivre deux conversations radicalement différentes à deux personnes qui interagissent. Les chercheurs ont en effet cloné l’application VRChat, qui permet d’interagir avec d’autres personnes via des avatars pour intercepter les messages des utilisateurs et y répondre eux-mêmes.

Ayant testé leur méthode sur 27 personnes dans le cadre de leur étude, ils indiquent que seulement 10 d’entre elles ont remarqué un "bug" au début de l’attaque. La plupart l’ont cependant considéré comme un décalage normal, précisent-ils ajoutant que seulement un participant a signalé une activité suspecte.