Les vulnérabilités dans les applications de réalité virtuelle permettent de pirater des ordinateurs via des salles de discussion.
Avec l’aide de vulnérabilités inconnues, les cybercriminels peuvent pirater les ordinateurs des utilisateurs en les attirant simplement dans les salles de discussion d’applications de réalité virtuelle populaires, Steam VR ou VRChat.
Les chercheurs en sécurité Alex Radocea et Philip Pettersson ont découvert des vulnérabilités sur trois plates-formes de réalité virtuelle différentes qui pourraient permettre à des attaquants de pirater un ordinateur. Des problèmes ont été identifiés dans VRChat, les fonctionnalités de la maison virtuelle Valve Steam VR et la plate-forme open source High Fidelity.
«Lorsque vous êtes piraté dans la réalité virtuelle, vous le sentez littéralement sur vous-même. L’attaquant aura accès à tous vos sens. Il pourra voir avec vos yeux – il y a des caméras dans le casque. Il peut entendre avec vos oreilles – il y a des microphones dans les casques. Il pourra projeter une image sur votre rétine. Il sera capable de modifier le monde virtuel à volonté », a expliqué Petterson lors d’une conversation téléphonique avec des journalistes de Motherboard.
Selon les chercheurs, la vulnérabilité de Steam VR et de VRChat est particulièrement dangereuse. Pour son fonctionnement, l’attaquant n’a besoin que d’incorporer l’exploit dans la salle de discussion et d’inviter la victime. Il pourra désormais allumer son microphone et sa caméra, ainsi que manipuler le contenu affiché dans le casque.
Pour aggraver les choses, un attaquant peut créer un ver qui se propage automatiquement et qui infecte chaque visiteur de la salle de discussion, ainsi qu’inviter ses amis dans les salles de discussion infectées.
Les chercheurs ont signalé leur découverte aux fabricants et les vulnérabilités ont été corrigées. Néanmoins, leur existence même indique que les fabricants de plateformes de réalité virtuelle ont encore beaucoup à faire pour assurer la sécurité de leurs utilisateurs.
