VRChat, Steam VR et High Fidelity comportaient une vulnérabilité pouvant être exploitée par des hackers pour prendre le contrôle du casque de réalité virtuelle et du PC d’un utilisateur. Une preuve que la VR n’est pas encore au niveau en termes de cybersécurité…
Les chercheurs en sécurité Alex Radocea et Philip Pettersson ont fait une inquiétante découverte, qu’ils ont dévoilée cette semaine lors de la conférence Recon de Montreal. En examinant les différentes applications de Social VR, ils ont découvert des vulnérabilités dans la plateforme Steam VR, la fameuse appli à succès VRChat et la plateforme open source High Fidelity.
En exploitant une faille de sécurité dans ces trois applications, les deux chercheurs sont parvenus à prendre le contrôle des ordinateurs d’autres utilisateurs. Pour ce faire, il leur a suffi d’inviter les utilisateurs dans une salle de discussion (chat room).
VRChat et Steam VR : la réalité virtuelle manque de cybersécurité
Les vulnérabilités ont aussitôt étaient signalées aux développeurs, qui se sont empressés de les corriger. Cependant, ces bugs particulièrement dangereux démontrent que la cybersécurité n’est pas du tout au point dans le domaine de la réalité virtuelle.
De plus, se faire pirater dans la réalité virtuelle est encore plus problématique que sur un PC ou un smartphone. Pour cause, comme l’expliquent les deux chercheurs, les hackers ont directement accès aux sens de leur victime. Le cybercriminel peut voir à travers les yeux de sa proie via les caméras du casque, et entendre ce qu’il dit grâce aux microphones.
Lors de leurs expériences, les chercheurs étaient aussi en mesure de projeter des images dans le casque de la victime. Ainsi, il est possible d’altérer le monde virtuel qu’il perçoit sans même qu’il ne s’en rende compte. D’innombrables possibilités s’offrent donc aux hackers pour piéger les utilisateurs de casques VR…
Toujours d’après les deux chercheurs, les hackers auraient même pu créer un worm : un malware capable de se propager en infectant quiconque serait entré dans une salle de chat, et en invitant tous ses amis à le rejoindre. Ainsi, tous les utilisateurs de VRChat ou SteamVR auraient rapidement pu être contaminés, à l’instar des utilisateurs de MySpace avec le worm de 2005…
Il est donc impératif que les développeurs d’applications VR et les constructeurs de casques mettent tout en oeuvre pour sécuriser le hardware et le software de réalité virtuelle. Dans le cas contraire, la démocratisation de la réalité virtuelle risque fort de s’accompagner de nombreux incidents de cybersécurité.
- Partager l'article :