Des chercheurs en sécurité travaillant pour Check Point Research (CPR) ont découvert des failles de sécurité propres aux liseuses Amazon Kindle qui, si elles étaient exploitées, permettraient à un pirate informatique d'obtenir des informations stockées sur les appareils de leurs propriétaires.
Pour exploiter ces failles dans la liseuse la plus populaire au monde, un hacker doit préalablement envoyer un livre électronique malveillant à une victime. Une fois que cet e-book a été livré sur l'appareil, la victime potentielle n'a qu'à l'ouvrir pour lancer la chaîne d'exploitation, aucune autre interaction avec l'utilisateur n'étant requise.
- Nouvelle liseuse Amazon Kindle (2021) : ce que nous aimerions voir
- Meilleures liseuses Amazon Kindle : laquelle vous correspond le mieux ?
- Ebooks, audiobooks : comment télécharger gratuitement des nouveaux livres ?
Au cours de ses tests, le CPR a démontré qu'un livre électronique pouvait être utilisé comme logiciel malveillant sur une Amazon Kindle, ce qui permettrait à tout cybercriminel de supprimer la bibliothèque intégrale d’un lecteur ou de convertir la liseuse en un robot malveillant capable d'attaquer d'autres appareils sur le réseau local de l'utilisateur.
En outre, un hacker pourrait potentiellement voler les jetons Amazon ou d'autres informations sensibles stockées sur la liseuse.
Cibler un public très spécifique
Comme les failles de sécurité découvertes par le CPR utilisent des livres électroniques malveillants en tant que vecteur d'attaque, chaque pirate à l’origine de celle-ci peut cibler un groupe de personnes ou une population spécifique - ce en sélectionnant un e-book populaire dans une ou plusieurs langues précises.
Heureusement, le CPR a depuis communiqué ses conclusions à Amazon et le géant du e-commerce a pu déployer un correctif à temps, via la mise à jour 5.13.5 du firmware de la liseuse Kindle. Celle-ci s'installe automatiquement sur tous les appareils Kindle connectés à Internet.
Le responsable de la cyber-recherche chez Check Point Software, Yaniv Balmas, a averti dans un communiqué de presse que la série Kindle d'Amazon ainsi que tous les appareils IoT sont tout aussi vulnérables aux cyberattaques que les smartphones et les ordinateurs :
"Nous avons trouvé des vulnérabilités dans Kindle qui auraient permis à un attaquant de prendre le contrôle total de l'appareil. En envoyant aux utilisateurs de Kindle un seul livre électronique malveillant, un hacker aurait pu voler toutes les informations stockées sur l'appareil, des identifiants Amazon aux informations de facturation. Kindle, comme d'autres appareils IoT, sont souvent considérés comme inoffensifs et ignorés en tant que risques de sécurité. Mais nos recherches démontrent que tout appareil électronique, en fin de compte, est une forme d'ordinateur. Et en tant que tels, ces appareils IoT sont vulnérables aux mêmes attaques que les ordinateurs. Tout le monde devrait être conscient des risques liés à l'utilisation de tout ce qui est connecté, en particulier quelque chose d'aussi omniprésent que l’Amazon Kindle."
