Matt Wixey, un expert en sécurité informatique, a montré lors de la DefCon à Las Vegas, qu’il est possible de pirater des enceintes ou des hauts-parleurs pour diffuser des sons inaudibles, particulièrement dangereux pour la psychologie et la physiologie des humains.

Vous êtes terrifiés à l'idée d'être mis sur écoute par votre enceinte intelligente ou votre téléphone ? Les dernières recherches dans le domaine devraient accentuer votre paranoïa... La plus grande conférence au monde de hackers, la Def Con à Las Vegas, accueillait dimanche 11 août Matt Wixey, responsable de la recherche au sein du service cyber-sécurité de l'entreprise PWC.

Dans le cadre de son doctorat, il s'est intéressé à la manière dont les logiciels malveillants peuvent causer des dégâts physiques. « Les logiciels malveillants susceptibles de faire le saut entre le monde numérique et le monde physique m’ont toujours intéressés », avance Matt Wixey lors de sa conférence. L'expert en informatique a prouvé qu'il est possible de hacker des enceintes ou des hauts-parleurs pour les forcer à diffuser des sons dangereux pour la santé, pouvant causer des acouphènes voir même avoir des effets psychologiques. « Un attaquant pourrait développer des malwares pour émettre un bruit dépassant les recommandations en terme de niveau sonore. Cela entraînerait des effets néfastes à la fois psychologique et physiologique pour les utilisateurs ou les personnes à proximité. » L'oreille humaine est sensible à une gamme spécifique de fréquences hertziennes (le nombre d'oscillations par seconde du son) et d'intensité mesurée en décibels. Au-delà ou en dessous, les sons deviennent nocifs et peuvent détruire de manière irréversible les structures de l'appareil auditif interne.

Les fréquences hertziennes perçues par l'oreille humaine en comparaison avec quelques espèces animales.
Les fréquences hertziennes perçues par l'oreille humaine en comparaison avec quelques espèces animales.
Image : © S. Blatrix

Pour justifier le postulat de sa thèse, Matt Wixey a rassemblé une large gamme d’appareils électroniques : ordinateur portable, smartphone, haut-parleur Bluetooth, paire d’écouteurs intra-auriculaires, système de sonorisation intégré au véhicule ou encore haut parleur anti-vibration. Quelques lignes de code plus tard, il prenait le contrôle des périphériques pour émettre des fréquences dépassant la moyenne recommandée par plusieurs institutions de santé. Certains périphériques se sont montrés plus vulnérables que d'autres. À titre d'exemple, l’attaque d'une enceinte intelligente a généré une telle chaleur que ses composants ont fondu au bout de cinq minutes. Le chercheur a essayé de rassurer l'audience tant bien que mal : le pirate doit forcément avoir un accès physique au dispositif ou se trouver à courte distance pour lui implanter un logiciel malveillant.

Alerter les constructeurs

À moins de ne jamais quitter son sonomètre personnel, il est impossible de savoir si un de ses périphériques est piraté. Les sons à très hautes ou très basses fréquences sont inaudibles pour l'homme, ce qui en fait toute leur dangerosité. Mais pas de panique, Matt Wixey pense à tout. Le professionnel de la sécurité informatique suggère une liste de contre-mesures pour endiguer le problème. Ses recommandations s’appliquent aussi bien aux matériaux utilisés qu’au système d'exploitation des appareils.