Le témoin LED vert intégré au Mac, associé à ceux affichés sur l’écran de macOS, fait un excellent travail pour alerter les utilisateurs en temps réel lorsque la webcam ou le microphone est actif. Lorsque vous travaillez sur votre Mac, ces indicateurs sont difficiles à manquer. Cependant, cette protection suppose que vous êtes présent pour voir la lumière verte s’allumer.
Que se passe-t-il lorsque vous êtes loin de votre Mac et qu’un logiciel malveillant active la caméra ou le microphone pour enregistrer ou écouter discrètement, sans que vous ne soyez là pour remarquer le témoin vert ? Comment le sauriez-vous ?
Une application pour rester informé
Eh bien, il existe une application pour cela. Dans une précédente colonne Security Bite, j’ai expliqué, un peu à contrecoeur, pourquoi les protections en plastique pour webcam sur les MacBook modernes ne sont plus nécessaires depuis qu’Apple a décidé en 2008 de connecter la caméra et le témoin LED sur le même circuit. Cela a rendu impossible l’alimentation de la webcam sans que ce témoin vert ne s’allume en même temps. Ce changement de conception a effectivement éliminé une classe entière d’attaques furtives de la webcam, mais a également créé de nouvelles menaces.
Dans un commentaire à cet article, le chercheur en sécurité Apple et fondateur d’Objective-See, Patrick Wardle, a suggéré l’outil gratuit et open-source de son organisation, OverSight, comme une couche de défense supplémentaire.
Surveillance des activations
OverSight est capable de beaucoup, mais son principal atout réside dans sa capacité à envoyer des notifications dès que votre webcam ou votre microphone est activé. Ainsi, lorsque vous revenez sur votre Mac, vous avez un journal de tous les événements déclenchés pendant votre absence, y compris le nom du processus responsable.
Historiquement, des menaces telles que Fruitfly, Mokes, et Crisis ont été observées sur des systèmes pendant de longues périodes, activant la caméra uniquement lorsque l’utilisateur s’éloigne de son bureau. Que vous soyez en train de prendre un café ou même en train de dormir, le témoin vert pourrait briller sans que vous ne le sachiez. OverSight ne prévient pas cet accès, mais il enregistre et fait remonter chaque événement d’activation, vous fournissant un dossier clair de ce qui s’est passé en votre absence.
Détection des attaques
OverSight est également capable de détecter les attaques par contournement. Il existe des cas documentés d’applications malveillantes sur macOS qui attendent que vous rejoigniez un appel vidéo légitime, avant de s’attacher discrètement au même flux de caméra et d’enregistrer votre conversation. Puisque Zoom, FaceTime ou Skype ont déjà activé la caméra, il n’y a pas de nouvel indicateur LED pour éveiller les soupçons. macOS ne différencie pas entre une application ou plusieurs processus accédant à la caméra — mais OverSight le fait, et il vous alertera dès qu’un autre processus sera activé.
Après avoir utilisé OverSight sur mon Mac personnel pendant quelques semaines, j’en suis devenu véritablement amoureux. C’est l’un des rares outils de sécurité que je recommande à tout le monde pour un peu plus de tranquillité d’esprit. Si vous êtes comme moi, savoir exactement quand le matériel a été utilisé, sans avoir besoin de créer un journal personnalisé ou de fouiller dans les internals système est un véritable soulagement.
Vous pouvez en apprendre davantage sur OverSight sur le site de la Objective-See Foundation.
