Webex de Cisco utilisait le microphone pour surveiller le bruit de fond des utilisateurs de manière dangereuse, même lorsque la sourdine était activée.
Le bouton de sourdine de Cisco Webex signifie que les autres participants à une réunion ne peuvent plus vous entendre, mais que Cisco lui-même continue à vous écouter. C’est ce qui ressort d’une étude menée par diverses universités américaines. Ils ont analysé le comportement de la fonction sourdine sur Zoom, Slack, Microsoft Teams, Cisco Webex, Google Meet, BlueJeans, WhereBy, GoToMeeting, Jitsi Meet et Discord, entre autres.
Sourdine ne veut pas dire arrêté
Selon l’étude, il existe un problème structurel dans la manière dont ces applications traitent la question de la sourdine. Après tout, il n’y a pas de norme cohérente pour définir ce que signifie exactement « sourdine ». Si vous éteignez la caméra, cela se fait par le biais d’une commande claire adressée au système d’exploitation. La caméra cesse alors réellement d’enregistrer et le voyant lumineux qui l’accompagne s’éteint. Une telle chose n’existe pas pour le microphone.
Par conséquent, le bouton de sourdine n’éteint pas le microphone. La plupart des applications continuent à surveiller le son de manière limitée. Par exemple, ils peuvent détecter si quelqu’un est en train de parler, mais que la sourdine est toujours activée, afin que l’utilisateur en soit informé. Les chercheurs constatent que la fonctionnalité ne fonctionne peut-être pas exactement comme les utilisateurs l’attendent, mais qu’il n’y a généralement pas de problème de confidentialité.
Webex est à l’écoute
Sauf pour Cisco Webex. Cet outil écoutait en sourdine et envoyait la télémétrie du microphone à ses serveurs. Il ne s’agissait pas d’un son pur, mais de données dérivées concernant, entre autres, le volume du fond. Dans 82 % des cas, les chercheurs ont pu convertir correctement ces données en une activité réalisée par l’utilisateur. Pensez à la cuisine, au nettoyage ou au clavier. De plus, Webex ne chiffrait pas les données entre l’enregistrement et l’API de prise réseau de Windows.
Ce comportement de l’outil est en contradiction avec la propre politique de confidentialité de Cisco, dans laquelle l’entreprise affirme qu’elle ne surveille pas le trafic des réunions. Les chercheurs ont informé Cisco en janvier de leurs conclusions. L’entreprise aurait entre-temps adapté Webex, afin que le programme n’envoie plus les données du microphone comme télémétrie. La raison pour laquelle la situation s’est produite n’est pas claire. Cisco affirme déjà que la découverte des chercheurs n’est pas considérée comme un bogue, ce qui implique que la société a délibérément intégré cette fonctionnalité.
Besoin d’une correction structurelle
De tels problèmes pourraient être résolus de manière plus structurelle à l’avenir par une implémentation plus standard de la fonction de sourdine, où le microphone soit utilisé comme la caméra. Dans ce cas, la mise en sourdine signifierait que le microphone est réellement éteint, et que le système d’exploitation et les applications ne peuvent plus enregistrer ou analyser les données.