Mauvaise surprise de l’été : les liseuses Amazon Kindle souffrent de failles de sécurité importantes

Une liseuse Kindle en vacances
(Crédit photo: Amazon)

Des chercheurs en sécurité travaillant pour Check Point Research (CPR) ont découvert des failles de sécurité propres aux liseuses Amazon Kindle qui, si elles étaient exploitées, permettraient à un pirate informatique d'obtenir des informations stockées sur les appareils de leurs propriétaires.

Pour exploiter ces failles dans la liseuse la plus populaire au monde, un hacker doit préalablement envoyer un livre électronique malveillant à une victime. Une fois que cet e-book a été livré sur l'appareil, la victime potentielle n'a qu'à l'ouvrir pour lancer la chaîne d'exploitation, aucune autre interaction avec l'utilisateur n'étant requise.

Au cours de ses tests, le CPR a démontré qu'un livre électronique pouvait être utilisé comme logiciel malveillant sur une Amazon Kindle, ce qui permettrait à tout cybercriminel de supprimer la bibliothèque intégrale d’un lecteur ou de convertir la liseuse en un robot malveillant capable d'attaquer d'autres appareils sur le réseau local de l'utilisateur.

En outre, un hacker pourrait potentiellement voler les jetons Amazon ou d'autres informations sensibles stockées sur la liseuse.

Cibler un public très spécifique

Comme les failles de sécurité découvertes par le CPR utilisent des livres électroniques malveillants en tant que vecteur d'attaque, chaque pirate à l’origine de celle-ci peut cibler un groupe de personnes ou une population spécifique - ce en sélectionnant un e-book populaire dans une ou plusieurs langues précises.

Heureusement, le CPR a depuis communiqué ses conclusions à Amazon et le géant du e-commerce a pu déployer un correctif à temps, via la mise à jour 5.13.5 du firmware de la liseuse Kindle. Celle-ci s'installe automatiquement sur tous les appareils Kindle connectés à Internet.

Le responsable de la cyber-recherche chez Check Point Software, Yaniv Balmas, a averti dans un communiqué de presse que la série Kindle d'Amazon ainsi que tous les appareils IoT sont tout aussi vulnérables aux cyberattaques que les smartphones et les ordinateurs :

"Nous avons trouvé des vulnérabilités dans Kindle qui auraient permis à un attaquant de prendre le contrôle total de l'appareil. En envoyant aux utilisateurs de Kindle un seul livre électronique malveillant, un hacker aurait pu voler toutes les informations stockées sur l'appareil, des identifiants Amazon aux informations de facturation. Kindle, comme d'autres appareils IoT, sont souvent considérés comme inoffensifs et ignorés en tant que risques de sécurité. Mais nos recherches démontrent que tout appareil électronique, en fin de compte, est une forme d'ordinateur. Et en tant que tels, ces appareils IoT sont vulnérables aux mêmes attaques que les ordinateurs. Tout le monde devrait être conscient des risques liés à l'utilisation de tout ce qui est connecté, en particulier quelque chose d'aussi omniprésent que l’Amazon Kindle." 

After working with the TechRadar Pro team for the last several years, Anthony is now the security and networking editor at Tom’s Guide where he covers everything from data breaches and ransomware gangs to the best way to cover your whole home or business with Wi-Fi. When not writing, you can find him tinkering with PCs and game consoles, managing cables and upgrading his smart home.