Votre souris, cet accessoire anodin qui glisse sur votre bureau, pourrait être le prochain mouchard à l'écoute de vos conversations les plus confidentielles. Des chercheurs de l'Université de Californie viennent de prouver qu'il est techniquement possible de détourner le capteur optique d'une souris pour le transformer en un microphone de fortune. Une nouvelle forme de piratage aussi discrète qu'inquiétante.
Comment votre souris peut-elle se transformer en micro ?
L'attaque, baptisée Mic-E-Mouse (en référence à Mickey Mouse), repose sur un principe physique simple : lorsque vous parlez, votre voix crée des vibrations infimes qui se propagent à travers la surface de votre bureau. Or, les capteurs optiques des souris modernes, en particulier les modèles pour gamers, sont devenus si précis qu'ils sont capables de détecter ces micro-vibrations, même lorsque la souris est immobile.
L'attaque nécessite qu'un logiciel malveillant soit préalablement installé sur l'ordinateur de la victime. Ce dernier va alors enregistrer en continu les données brutes du capteur, qui ne sont que de simples mouvements de pixels. Ces données sont ensuite envoyées à un serveur distant où une intelligence artificielle se charge de reconstituer les paroles à partir des vibrations captées.
S'agit-il d'une faille de sécurité classique ?
Non, et c'est ce qui la rend particulièrement vicieuse. Il ne s'agit pas d'une faille logicielle, mais de ce que l'on appelle une attaque par canal auxiliaire ("side-channel attack"). Le pirate n'exploite pas une vulnérabilité du code, mais un effet physique du fonctionnement normal de l'appareil. C'est l'équivalent d'écouter le bruit des touches d'un clavier pour deviner un mot de passe, plutôt que de hacker le système.
L'avantage pour les pirates est que ces attaques sont quasiment indétectables. Le logiciel espion se contente de lire des données de mouvement de souris, une activité parfaitement normale qui ne déclenche aucune alerte des antivirus. L'ordinateur fonctionne normalement, sans aucun signe de compromission.
Faut-il jeter sa souris gamer à la poubelle ?
Pas de panique. Si la prouesse technique est impressionnante, sa mise en œuvre dans le monde réel reste complexe et soumise à de nombreuses conditions. L'attaque n'est vraiment efficace qu'avec des souris gamer très haut de gamme, dotées de capteurs à très haute résolution (plus de 20 000 DPI) et d'une fréquence d'interrogation élevée (8000 Hz). Votre souris bureautique standard n'est probablement pas assez sensible.
De plus, plusieurs facteurs peuvent faire échouer l'écoute :
- La souris doit être immobile.
- Le bureau doit être fin et fait d'un matériau qui propage bien les vibrations (bois, métal).
- Il ne doit pas y avoir de tapis de souris, qui amortit considérablement les vibrations.
Le risque est donc réel, mais il concerne principalement les environnements à haute sécurité (gouvernement, grandes entreprises) plutôt que le grand public.
Foire Aux Questions (FAQ)
Quels modèles de souris sont les plus vulnérables ?
Les modèles les plus à risque sont les souris gaming très haut de gamme, qui combinent une très haute résolution de capteur (DPI) et une fréquence d'interrogation ("polling rate") très élevée. Les chercheurs citent des modèles comme la Razer Viper 8KHz ou la ROG Harpe Ace Extreme comme exemples de matériel potentiellement exploitable.
Comment puis-je me protéger de ce type d'attaque ?
La solution la plus simple et la plus efficace est d'utiliser un tapis de souris, de préférence épais, qui absorbera les vibrations de votre voix avant qu'elles n'atteignent le capteur. Maintenir son antivirus et ses pilotes à jour reste également une bonne pratique pour se prémunir contre l'installation du logiciel malveillant initial.
Les fabricants de souris ont-ils été prévenus ?
Oui, les chercheurs ont notifié 26 fabricants de souris concernés par cette vulnérabilité. Ces derniers travaillent actuellement sur des correctifs, probablement sous la forme de mises à jour de firmware, pour mieux protéger les données brutes issues de leurs capteurs.
