Partager via


Volets de confidentialité de l’appareil photo et commutateurs d’arrêt

Cet article fournit des conseils de conception d’appareil pour les obturateurs de confidentialité ou les commutateurs d’arrêt, des considérations relatives à la détection de l’état de l’obturateur et la façon dont les volets sont censés interagir avec les exigences HLK existantes pour les VOYANTs d’indicateur.

Exigences courantes relatives aux LED

Quels que soient les obturateurs ou les commutateurs d’arrêt, HLK exige qu’une LED d’indicateur visible soit ACTIVÉE lorsque le fournisseur de services Internet capture les données du capteur. Pour les caméras RVB, si la caméra est active, une seule LED de longueur d’onde visible (par exemple, blanc, vert, bleu, et ainsi de suite) doit être ACTIVÉE :

Caméras RVB activées

Pour les caméras avec un capteur RVB+IR, cela peut être plus complexe, car la caméra IR nécessite une LED d’illuminateur, et la LED de l’illuminateur peut utiliser une longueur d’onde visible (850 nm) ou une longueur d’onde invisible (940 nm). En outre, les applications peuvent être diffusées à partir du capteur IR par lui-même, du capteur RVB lui-même ou des deux simultanément.

Les conceptions utilisant un illuminateur IR de longueur d’onde visible peuvent choisir d’utiliser la LED de l’illuminateur IR comme led d’indicateur visible. Cela signifie que si la caméra IR est allumée par elle-même, les exigences HLK sont satisfaites par la LED de l’illuminateur IR allumée :

LED d’éclairage IR allumé

Les conceptions utilisant un illuminateur IR de longueur d’onde invisible doivent utiliser une LED de longueur d’onde visible pour indiquer quand la caméra IR est active, afin de répondre aux exigences de HLK. Nous vous recommandons de partager la LED de l’indicateur de la caméra en cours d’utilisation, afin que la même LED de longueur d’onde visible s’allume lorsque le capteur IR et/ou le capteur RVB sont activés :

Le capteur IR et ou RVB est activé

Nous recommandons à toutes les conceptions d’activer la LED de l’indicateur standard en cours d’utilisation lorsque la caméra IR ou RVB est utilisée, que la LED d’éclairage IR utilise une longueur d’onde visible ou non. Voici le tableau complet des spécifications principales des LED :

état Stream Led IR visible (850 nm) Invisible IR LED (940 nm)
Caméra désactivée VOYANTS DÉSACTIVÉS VOYANTS DÉSACTIVÉS
Uniquement l’appareil photo RVB activé Indicateur in-use ON, IR illuminator OFF Indicateur in-use ON, IR illuminator OFF
Uniquement la caméra IR activée Indicateur en cours d’utilisation non obligatoire, mais on recommandé Indicateur en cours d’utilisation ON, illumineur IR ON
Caméra RVB et IR sur Indicateur en cours d’utilisation ON, illumineur IR ON Indicateur en cours d’utilisation ON, illumineur IR ON

Notes

Les exigences en matière de LED peuvent différer pour les conceptions avec les obturateurs de confidentialité de l’appareil photo ou les commutateurs d’arrêt de la caméra. Pour plus d’informations sur les obturateurs de confidentialité de l’appareil photo et exigences en matière de led HLK pour les commutateurs d’arrêt de caméra, consultez Exigences relatives à la confidentialité de l’appareil photo.

Expériences d’IA always on (par exemple, présence humaine basée sur une caméra)

Pour les appareils prenant en charge les fonctionnalités IA basées sur caméra, où le silicium IA partage la main capteur de caméra, les exigences en matière de LED diffèrent lorsque le silicium de présence dédié accède exclusivement à l’appareil photo. Pour plus d’informations, consultez le Livre blanc détection de présence dans l’Espace partenaires Microsoft.

Contrôles de confidentialité du matériel

Lorsque les conceptions de caméras incluent des contrôles de confidentialité matériels, il existe deux principes clés de notre guide de conception :

  1. Les appareils avec des contrôles de confidentialité doivent fournir une expérience utilisateur cohérente et une confiance dans l’état de confidentialité :

    • Une fois qu’un client a appris à quoi ressemble et se comporte l’obturateur de son appareil, cette connaissance doit s’appliquer à tout appareil qu’il utilise et doté d’un obturateur.
  2. En aucun cas, un contrôle de confidentialité de l’appareil photo ne peut donner une fausse impression de confidentialité :

    • Les appareils ne doivent pas manquer de fournir la confidentialité quand le plus important pour le client. Si l’obturateur de confidentialité de l’appareil photo est fermé ou si le commutateur d’arrêt de la caméra est désactivé, les clients s’attendent à ce qu’aucune image ne puisse être capturée tant qu’ils n’interagissent pas avec le contrôle physique pour désactiver la fonctionnalité de confidentialité.

Types de contrôles

Deux formes de contrôle de confidentialité sont définies : les obturateurs de confidentialité de la caméra (mécaniques et électromécaniques) et les commutateurs d’arrêt de caméra. En fonction du facteur de forme de l’appareil, des objectifs de coût de nomenclature et du prix de l’appareil, un OEM peut choisir d’implémenter l’obturateur sous l’une de ces formes. Une constante importante dans les trois est qu’ils doivent agir au niveau physique ou matériel, ce qui signifie qu’aucun logiciel n’est impliqué, car les logiciels peuvent être compromis.

Obturateur de confidentialité de la caméra mécanique

Les volets mécaniques sont la conception la plus simple, il s’agit d’un simple couvercle d’objectif coulissant que l’utilisateur actionne manuellement pour bloquer l’appareil photo ou non. Ils sont conçus à l’aide d’un matériau opaque qui bloque complètement l’objectif lorsqu’il est fermé. Cette conception est intrinsèquement infaillible dans le sens où ils ne peuvent physiquement pas être compromis pour s’ouvrir de quelque manière que ce soit, sauf l’utilisateur glissant.

Obturateur de confidentialité de caméra électromécanique

Les volets électromécaniques sont des volets mécaniques à commande électrique. Au lieu que l’utilisateur ouvre ou ferme manuellement l’obturateur, l’obturateur intégré s’ouvre/se ferme en réponse à l’appui d’un bouton physique sur l’appareil.

Notes

Bien que cette solution nécessite généralement un microprogramme, elle doit être isolée des autres composants. En d’autres termes, le contrôleur d’obturation et le bouton ne doivent pas avoir de vecteurs d’attaque tels que les bus de communication ou la possibilité de reprogrammer le microprogramme. La conception doit nécessiter une interaction matérielle et ne doit pas être contrôlable à partir d’un logiciel.

Commutateurs d’arrêt de la caméra

Certains appareils sont aujourd’hui fournis avec une fonctionnalité de commutateur d’arrêt de caméra, qui déconnecte physiquement l’appareil photo du système lorsqu’il est éteint, fournissant un contrôle matériel pour bloquer l’accès à la caméra sans nécessiter d’obturateur physique pour couvrir l’objectif/capteur. Bien que cela soit robuste contre les attaques, cela crée une expérience utilisateur médiocre. En retirant l’appareil lorsque le commutateur est éteint, le système ne peut pas dire que le châssis contient toujours une caméra, mais qu’il vient de s’éteindre. Cela est problématique du point de vue de l’expérience utilisateur si la caméra est involontairement désactivée par un utilisateur ignorant le commutateur, car les applications signalent qu’aucune caméra n’est connectée. Cela peut également entraîner le blocage ou le comportement incorrect de certaines applications si la caméra est supprimée pendant l’utilisation ou s’affiche pendant l’exécution de l’application.

Par conséquent, Microsoft ne recommande pas ou ne prend pas en charge l’utilisation de commutateurs d’arrêt de caméra qui suppriment l’ensemble de la caméra du système. Au lieu de cela, nous vous recommandons l’une des deux solutions suivantes :

  1. Un obturateur physique, comme décrit dans Obturateur de confidentialité de caméra mécanique et Obturateur de confidentialité de caméra électromécanique.

  2. Un commutateur d’arrêt qui déconnecte le capteur, plutôt que le fai, et provoque la synthèse des trames noires par le fai.

Pour la deuxième solution, la caméra apparaît toujours dans le système et les applications peuvent continuer à l’utiliser. Le fai répond normalement à toutes les commandes (démarrer/arrêter la diffusion en continu, DDIS comme la luminosité ou le contraste, changements de type de média, etc.), que le commutateur d’arrêt soit actif ou non. Toutefois, lorsque le commutateur kill est activé, le fournisseur de services Internet cesse de capturer des données réelles à partir du capteur et synthétise et diffuse des images noires, toutes transparentes du point de vue de l’application.

Volets avec plusieurs caméras sur un panneau

Lorsque les clients utilisent des appareils avec des obturateurs (par exemple, des obturateurs avec plusieurs caméras IR et RVB sur un panneau), ils s’attendent à ce que si l’obturateur est fermé, la confidentialité est protégée contre tout accès inattendu à la caméra. Lorsque les systèmes ont deux caméras sur le même panneau, telles qu’une caméra RVB et IR pour prendre en charge Windows Hello, il est important de s’assurer que l’obturateur ne donne pas un faux sentiment de sécurité. Les clients ne sont pas censés comprendre qu’il peut y avoir un deuxième capteur d’appareil photo pour Windows Hello, et certains appareils utilisent un seul capteur pour RVB+IR. Pour cette raison, l’obturateur doit couvrir toutes les caméras sur le panneau.

S’assurer que les obturateurs et les commutateurs d’arrêt s’appliquent à la caméra IR est de la plus haute importance, car la caméra IR est accessible par les applications et produit des images raisonnablement haute fidélité de la scène, comme indiqué ci-dessous. Ne pas masquer le capteur IR représenterait un faux sentiment de sécurité et une violation de la confiance de l’utilisateur dans le mérite de confidentialité de l’obturateur.

Image IR du capteur de référence Microsoft

Notes

Windows Hello Face nécessite une caméra RVB et IR. Si la caméra RVB est obclée, Windows Hello ne fonctionnera pas correctement. Les flux RVB et IR sont utilisés pour activer les mesures de contre-usurpation d’identité.

Guide de conception de l’obturateur physique (mécanique ou électromécanique)

Lorsqu’un client utilise un appareil avec un obturateur physique, la présence de l’obturateur donne une forte attente implicite quant au niveau de confidentialité qu’il fournit. En d’autres termes, l’utilisateur s’attend à ce que si l’appareil dispose d’un obturateur et que l’obturateur est fermé, il est protégé contre tout accès inattendu à la caméra. Il est essentiel que l’implémentation de la fonctionnalité soit à la hauteur des attentes implicites, sinon elle perd toute confiance.

En outre, tout le concept d’un obturateur de confidentialité est de fournir une couche de sécurité renforcée contre toute attaque logicielle pratique. En d’autres termes, si l’appareil a un obturateur et que le système est entièrement compromis par un logiciel malveillant, ce logiciel ne peut pas compromettre la confidentialité de l’utilisateur. Là encore, pour faire simple, l’on s’attend à ce que l’obturateur ne puisse changer d’état que si l’utilisateur interagit physiquement avec le contrôle d’obturateur matériel sur l’appareil.

Considérations relatives à la conception mécanique

Les volets physiques, qu’ils soient actionné manuellement ou électromécaniquement, sont censés être faits d’un matériau opaque qui bloque complètement le capteur lorsqu’il est fermé et qui est visible à l’œil nu :

matériau opaque bloque le capteur lorsque fermé est visible à l’œil nu

Comme décrit dans Volets avec plusieurs caméras sur un panneau, les deux capteurs doivent être bloqués simultanément lorsque l’obturateur est fermé pour les appareils équipés d’une caméra IR et RVB distincte sur le même panneau. Supposons une conception à double capteur comme suit :

conception à double capteur

Lorsque l’obturateur est fermé, il doit couvrir le capteur RVB. Il est facultatif pour couvrir le capteur IR :

lorsque l’obturateur fermé doit couvrir les deux capteurs

Notes

Nous prenons actuellement en charge une exemption pour les caméras dont la conception de l’obturateur mécanique ne couvre pas la caméra IR. Lorsqu’un obturateur physique obludant l’appareil photo RVB, il est acceptable que le microprogramme du faiP ignore la sortie de l’image de la caméra IR et la remplace par une image noire synthétisée. Toutefois, si le capteur IR est utilisé pour la détection de présence, il est recommandé de ne pas couvrir le capteur IR et de s’assurer que le capteur de présence est fonctionnel. Pour plus d’informations, consultez le livre blanc détection de présence sur l’Espace partenaires Microsoft. Une prochaine mise à jour HLK adoptera cette exception et exigera uniquement des volets physiques pour obstruer physiquement le RVB, afin de garantir la robustesse de la solution et une protection plus forte de la confidentialité des clients.

Considérations relatives au comportement de la caméra

Lorsqu’une caméra est équipée d’un obturateur physique, la caméra doit continuer à fonctionner normalement, quel que soit son état d’obturation. Si une application diffuse en continu à partir de l’appareil photo, elle continue de capturer et de transmettre des données réelles du capteur même si l’obturateur est fermé. L’occlusion complète du capteur par un obturateur fermé est censée produire une image qui est noire ou très proche de celui-ci.

Les oem peuvent choisir de remplacer l’image par une image statique lorsque l’obturateur est fermé (par exemple, une image d’un appareil photo avec une barre oblique). Cette image doit être statique et ne peut pas être modifiée à partir d’un logiciel pour se protéger contre les attaques. Pour les appareils dotés de déclencheurs de confidentialité, le remplacement d’image peut se produire au sein du fai ou du pilote, bien qu’il soit recommandé de remplacer au sein du fai afin de réduire le besoin de DMFT et d’ajouter de la charge à l’appareil hôte.

Exigences led du volet de confidentialité de la caméra

Les exigences led doivent respecter les exigences spécifiées Pour les LED courantes. Cela signifie que si une caméra sur le panneau est allumée, un indicateur de caméra de longueur d’onde visible en cours d’utilisation doit rester allumé, que l’obturateur soit ouvert ou fermé. Cependant, il est acceptable que la conception physique de l’obturateur couvre la LED lorsque l’obturateur est fermé. Les diagrammes ci-dessous illustrent un scénario où la caméra diffuse activement en continu :

l’appareil photo est activement en streaming

Pour les conceptions comportant à la fois une caméra IR et RVB, certains fabricants peuvent souhaiter éteindre l’éclairage IR LED si la caméra IR est utilisée pendant que l’obturateur est fermé. Nous déconseillons cette option, car elle ajoute une complexité supplémentaire pour peu de valeur ; la caméra IR ne sera active que si Windows Hello est en cours d’exécution et Windows Hello affiche un message pendant ce temps qu’elle tente de vous connecter, mais que l’obturateur est fermé. Pour plus d’informations, consultez Implémentation de kill switch .

Toutefois, si une LED d’éclairage IR de 840 nm (visible) n’est pas la seule LED d’indicateur en cours d’utilisation pour la caméra IR (par exemple, une LED visible normale blanche/verte/bleue est allumée lorsque la caméra IR est active), une conception peut désactiver l’éclairage IR lorsque l’obturateur est fermé.

Mécanismes de basculement de l’état d’obturation

Les appareils qui implémentent des volets de confidentialité ne doivent autoriser aucune forme de contrôle logiciel de l’obturateur et doivent uniquement ouvrir ou fermer le déclencheur en réponse à l’interaction explicite de l’utilisateur avec le contrôle d’obturateur. Ce contrôle d’obturateur peut être un curseur mécanique ou un bouton physique qui actionne un obturateur électromécanique. Aucun logiciel ne peut changer d’état d’obturation, même si un contrôle matériel peut remplacer le logiciel et maintenir l’obturateur fermé, car un obturateur fermé ne signifie pas toujours que le contrôle de confidentialité est activé. De même, l’obturateur ne peut pas s’ouvrir ou se fermer sur une application à l’aide de l’appareil photo, pour la même raison. En résumé, si l’utilisateur regarde l’appareil et voit que l’obturateur est fermé, il doit être en mesure de déduire sans équivoque que sa vie privée est protégée jusqu’à ce qu’il prenne des mesures physiques pour ouvrir l’obturateur.

Détection et création de rapports d’état d’obturation

Bon nombre des problèmes liés aux conceptions de confidentialité des caméras sur le marché proviennent de situations où un utilisateur ferme involontairement l’obturateur et ne peut pas comprendre pourquoi son appareil photo produit une image vide ou ne fonctionne pas. En conséquence, une partie clé de la fonctionnalité d’obturation de confidentialité Windows s’appuie sur la caméra pour pouvoir signaler de manière fiable son état d’obturation. Avec ces informations, les applications peuvent informer l’utilisateur que l’obturateur est fermé afin qu’il puisse réagir en conséquence. Les changements d’état d’obturation doivent être détectés et signalés dès que possible après l’événement.

Deux méthodes sont proposées pour la détection de l’état d’obturation, les capteurs physiques et la détection basée sur le microprogramme. Les deux méthodes signalent l’état d’obturation détecté via CT_PRIVACY_CONTROL s’il provient d’un appareil UVC, ou KSPROPERTY_CAMERACONTROL_PRIVACY s’il provient d’un pilote AVStream ou DMFT.

Pour plus d’informations, consultez Notification d’obturation de confidentialité .

Capteur de détection d’état physique

L’état d’obturation peut être détecté avec un capteur physique qui peut détecter si l’obturateur est ouvert ou fermé. Les capteurs physiques peuvent signaler de manière déterministe l’état d’obturation et peuvent fournir une expérience plus fiable. Microsoft n’a pas d’aide spécifique disponible sur la conception des capteurs, ni de recommandations spécifiques pour la technologie des capteurs.

Détection de l’état basé sur le microprogramme de l’ISP

Certaines conceptions peuvent choisir d’ignorer un obturateur physique et d’utiliser le microprogramme au sein du fai pour traiter l’image et signaler l’état d’obturation déduit. Une telle solution analyserait l’image capturée dans le microprogramme et la comparerait à un seuil pour déterminer si l’obturateur semble fermé. Il s’agit d’une solution peu coûteuse, car elle ne nécessite pas de nouvelles pièces et est également capable de détecter des éléments tels que des bandes sur un capteur. Toutefois, il existe deux considérations importantes lors du choix d’utiliser une telle conception :

  1. La conception peut faussement signaler un obturateur fermé dans les environnements sombres. Toutefois, il s’agit d’un risque/problème minimal, car la caméra ne serait de toute façon pas utilisable dans un environnement aussi faible.

  2. À moins que le fournisseur d’accès Internet ne soit capable d’échantillonner régulièrement à partir du capteur chaque fois qu’il n’est pas en D3, cette méthode empêche les applications de pouvoir interroger des données d’état précises du capteur jusqu’à ce qu’elles commencent à diffuser en continu à partir de l’appareil photo.

La deuxième considération ci-dessus crée un défi. Si la caméra ne parvient pas à signaler l’état d’obturation alors qu’elle n’est pas en streaming, mais qu’une application a été écrite pour case activée et réagir à l’état d’obturation avant la diffusion en continu, des choses incorrectes peuvent se produire. En réponse aux commentaires que nous avons reçus des partenaires, cette exigence a été assouplie. Nous mettons également à jour la documentation de l’API pour conseiller les développeurs de logiciels de prendre des décisions basées sur l’état d’obturation signalé en cas de non-diffusion en continu. Par exemple, nous déconseillons explicitement aux développeurs d’applications de ne pas empêcher l’appareil photo d’être allumé si l’obturateur signale qu’il est fermé.

Pour éviter les risques de problèmes de compatibilité avec les applications qui ne respectent pas ces conseils, les caméras qui ne peuvent pas détecter l’état d’obturation lorsqu’elles ne sont pas diffusées en continu sont censées signaler que l’obturateur est OUVERT chaque fois qu’il n’est pas diffusé en continu. Sinon, si la caméra peut détecter l’état d’obturation lorsqu’elle n’est pas diffusée en continu, elle est censée détecter et signaler l’état d’obturation chaque fois qu’elle n’est pas en D3.

Notes

Les algorithmes de détection d’obturation basés sur l’analyse d’images doivent toujours être implémentés dans le microprogramme plutôt que dans un pilote, afin d’éviter d’augmenter la charge du processeur et d’obtenir une robustesse maximale.

Voici un diagramme illustrant le comportement attendu d’un appareil avec un obturateur de confidentialité de caméra :

comportement attendu pour l’appareil avec obturateur de confidentialité de la caméra

Tableau récapitulatif du comportement de l’obturateur de confidentialité de l’appareil photo

Le tableau suivant récapitulait le comportement attendu d’une caméra avec un obturateur de confidentialité de la caméra (manuel ou électromécanique) :

État du FAI État d’obturation Voyant led d’indicateur visible Image diffusée sur PC État de CT_PRIVACY_CONTROL signalé
Inactif/D3 Ouvert Désactivé* N/A Ouvert
Inactif/D3 Fermés Désactivé* N/A Ouvert**
Streaming (n’importe quelle application) Ouvert Sur* Image de capteur capturée Ouvert
Streaming (n’importe quelle application) Fermés Sur* Image de capteur capturée Fermés

(*) Pour plus d’informations sur les exigences relatives aux leds d’indicateur, consultez Exigences du déclencheur etMécanismes de basculement d’état d’obturation .

(**) Pour plus d’informations, consultez Détection de l’état d’obturation et création de rapports . Dans certains scénarios, l’état d’obturation est toujours mis à jour lorsqu’il n’y a pas de diffusion en continu.

Guide de conception de commutateur d’arrêt

Lorsqu’un client utilise un appareil avec un kill switch, il place la confiance dans un commutateur matériel pour se protéger de manière robuste contre toute application qui tente de capturer son image. En termes simples, l’utilisateur s’attend à ce que si mon appareil dispose d’un bouton d’arrêt et que le bouton d’arrêt est activé, ma confidentialité est protégée contre tout accès inattendu à la caméra. Il est essentiel que l’implémentation de la fonctionnalité soit à la hauteur des attentes implicites, sinon elle perd toute confiance.

En outre, l’ensemble du concept d’un kill switch consiste à fournir une couche de sécurité renforcée contre toute attaque logicielle pratique. Si l’appareil dispose d’un kill switch et que le système est entièrement compromis par des logiciels malveillants, ce logiciel ne peut pas remplacer le kill switch et compromettre la confidentialité de l’utilisateur. En termes simples, l’on s’attend à ce que *le kill switch ne puisse être activé/désactivé que par l’utilisateur qui interagit physiquement avec l’appareil.

Par rapport aux conceptions de volets de confidentialité, les commutateurs d’arrêt sont plus complexes et présentent plus de défis à fournir en toute confiance. En effet, ils ont le même niveau d’attente de robustesse (un commutateur physique est censé fonctionner parfaitement dans tous les scénarios), mais ils ne fournissent pas l’assurance qu’un obturateur physique sur l’objectif fournit. Cela signifie que les appareils qui offrent des commutateurs d’arrêt doivent produire une expérience cohérente, claire et fiable.

Fonctionnalité kill switch

Les commutateurs kill fonctionnent en demandant au microprogramme du fai d’arrêter la capture à partir du capteur et de synthétiser à la place une image noire. De cette façon, la caméra est toujours disponible et fonctionnelle du point de vue des applications, mais il n’y a aucune donnée de capteur réelle transmise dans le système d’exploitation hôte lorsque le bouton d’arrêt est actif. Une conception robuste fonctionnerait comme suit :

  1. Le signal physique du commutateur se connecte à un GPIO sur le fai, pour indiquer si le commutateur est actif ou non

  2. Lorsque le commutateur d’arrêt est actif, le fai :

    1. Déconnecte électriquement le capteur

    2. Commence la synthèse des cadres noirs pour remplacer les images réelles du capteur déconnecté

    3. Signale que l’obturateur est fermé via la fonctionnalité de notification de l’obturateur de confidentialité

Dans la pratique, le silicium ISP qui prend en charge cette expérience complète, y compris une déconnexion électrique du capteur lorsque le kill switch GPIO est actif, n’est pas encore disponible sur le marché. En conséquence, les conceptions actuelles nécessitent la modification de l’étape 2a ci-dessus pour « Arrêter le capteur ou ignorer les données du capteur dans le microprogramme ». Nous prévoyons de travailler avec les fournisseurs de fournisseurs de services Internet pour atténuer le besoin de cet aménagement dans le futur silicium.

Notes

Il est essentiel que la fonctionnalité kill switch soit implémentée dans le microprogramme du fai, et non dans un pilote s’exécutant sur le système d’exploitation hôte. Les données d’image réelles du capteur ne doivent pas être transférées dans le système d’exploitation lorsque le commutateur kill est à l’état « kill ».

Comme avec les obturateurs de confidentialité, les fabricants OEM peuvent remplacer l’image par une image statique lorsque le kill switch est à l’état « kill ». Le remplacement d’image peut se produire dans le fai ou dans le pilote, bien que le remplacement au sein du fai soit recommandé pour réduire le besoin de DMFT et ajouter de la charge à l’appareil hôte. Si le remplacement d’image est effectué dans le pilote, notez que l’exigence que les données d’image réelles ne sont pas transférées dans le système d’exploitation lorsque le commutateur kill est à l’état « kill » s’applique toujours.

Implémentation de kill switch

L’état kill switch ne doit pas être contrôlé par le logiciel, sinon une application malveillante peut écrire le contrôle pour activer ou désactiver le kill switch. Elles doivent être contrôlées par un commutateur connecté à un GPIO sur le fai.

Il est important que lorsque les caméras arrêtent les commutateurs sont désactivés, la caméra s’affiche toujours dans le système et les applications peuvent toujours diffuser à partir de celui-ci, l’image devient noire. Les images continuent d’être remises au système d’exploitation, et la caméra continue de répondre aux contrôles ; les applications ne savent pas que le commutateur est à l’état « kill », sauf si l’application utilise les API CameraOcclusionInfo . Cela permet à l’appareil photo d’être désactivé via un contrôle matériel sans introduire de messages confus « caméra introuvable » ou risquer le blocage de certaines applications lors du basculement du commutateur.

Comme décrit dans Volets avec plusieurs caméras sur un panneau, les appareils avec des caméras IR et RVB distinctes sur le même panneau doivent avoir les deux capteurs désactivés simultanément lorsque le bouton d’arrêt est activé.

Conditions requises pour les LED HLK

HLK exige que la LED de l’indicateur soit ON lorsque le fournisseur de services Internet capture les données du capteur. L’activation du commutateur d’arrêt signifie que le fournisseur de services Internet doit arrêter de capturer des données réelles à partir du capteur, de sorte que la LED est également censée s’éteindre avec le commutateur kill. Cela évite toute confusion ou violation de confiance, si le client voit un indicateur allumé ou une LED d’éclairage IR, il sait que le logiciel est en train de capturer son image, et s’il ne voit pas de LED allumée, il sait qu’il n’est pas capturé.

Rapports d’état kill switch

L’état du commutateur kill doit être signalé via CT_PRIVACY_CONTROL (s’il provient d’un appareil UVC) ou KSPROPERTY_CAMERACONTROL_PRIVACY (s’il provient d’un pilote AVStream ou DMFT). L’état du commutateur d’arrêt de la caméra doit être signalé chaque fois que le fai est hors de D3.

Pour plus d’informations, consultez La notification d’obturateur/commutateur de confidentialité.

rapports d’état kill switch

Tableau récapitulatif du comportement du commutateur d’arrêt

Le tableau suivant récapitule le comportement attendu d’une caméra avec un commutateur d’arrêt de caméra :

État du fai État kill switch Voyant led d’indicateur visible Image diffusée sur le PC État CT_PRIVACY_CONTROL signalé
Inactif/D3 Exécuter Désactivé* N/A Ouvrir
Inactif/D3 Tuer Désactivé* N/A Fermer
Streaming (n’importe quelle application) Exécuter Sur* Image de capteur capturée Ouvrir
Streaming (n’importe quelle application) Tuer Désactivé* Cadres vides synthétisés Fermer

(*) Pour plus d’informations sur les exigences relatives aux leds d’indicateur, consultez Exigences relatives aux LED de confidentialité de l’appareil photo et Mécanismes de basculement de l’état d’obturation .

Conseils d’éditeur de logiciels indépendants pour les événements d’obturation/commutateur

Lorsqu’une caméra avec un obturateur de confidentialité ou un commutateur d’arrêt suit les instructions de cette documentation, l’état de l’obturateur/commutateur est signalé au système d’exploitation lorsque la caméra est en streaming. Les applications utilisant la caméra peuvent ensuite surveiller les événements de changement d’état d’obturation et répondre en conséquence, par exemple en produisant une notification utile indiquant que la caméra est bloquée par un obturateur ou un commutateur.

Pour plus d’informations, consultez les API suivantes :

CameraOcclusionInfo, classe

CameraOcclusionState, classe

VideoDeviceController.CameraOcclusionInfo, propriété