Skip to main content

Mauvaise surprise de l’été : les liseuses Amazon Kindle souffrent de failles de sécurité importantes

Une liseuse Kindle en vacances
(Crédit photo: Amazon)

Des chercheurs en sécurité travaillant pour Check Point Research (CPR) ont découvert des failles de sécurité propres aux liseuses Amazon Kindle qui, si elles étaient exploitées, permettraient à un pirate informatique d'obtenir des informations stockées sur les appareils de leurs propriétaires.

Pour exploiter ces failles dans la liseuse la plus populaire au monde, un hacker doit préalablement envoyer un livre électronique malveillant à une victime. Une fois que cet e-book a été livré sur l'appareil, la victime potentielle n'a qu'à l'ouvrir pour lancer la chaîne d'exploitation, aucune autre interaction avec l'utilisateur n'étant requise.

Au cours de ses tests, le CPR a démontré qu'un livre électronique pouvait être utilisé comme logiciel malveillant sur une Amazon Kindle, ce qui permettrait à tout cybercriminel de supprimer la bibliothèque intégrale d’un lecteur ou de convertir la liseuse en un robot malveillant capable d'attaquer d'autres appareils sur le réseau local de l'utilisateur.

En outre, un hacker pourrait potentiellement voler les jetons Amazon ou d'autres informations sensibles stockées sur la liseuse.

Cibler un public très spécifique

Comme les failles de sécurité découvertes par le CPR utilisent des livres électroniques malveillants en tant que vecteur d'attaque, chaque pirate à l’origine de celle-ci peut cibler un groupe de personnes ou une population spécifique - ce en sélectionnant un e-book populaire dans une ou plusieurs langues précises.

Heureusement, le CPR a depuis communiqué ses conclusions à Amazon et le géant du e-commerce a pu déployer un correctif à temps, via la mise à jour 5.13.5 du firmware de la liseuse Kindle. Celle-ci s'installe automatiquement sur tous les appareils Kindle connectés à Internet.

Le responsable de la cyber-recherche chez Check Point Software, Yaniv Balmas, a averti dans un communiqué de presse que la série Kindle d'Amazon ainsi que tous les appareils IoT sont tout aussi vulnérables aux cyberattaques que les smartphones et les ordinateurs :

"Nous avons trouvé des vulnérabilités dans Kindle qui auraient permis à un attaquant de prendre le contrôle total de l'appareil. En envoyant aux utilisateurs de Kindle un seul livre électronique malveillant, un hacker aurait pu voler toutes les informations stockées sur l'appareil, des identifiants Amazon aux informations de facturation. Kindle, comme d'autres appareils IoT, sont souvent considérés comme inoffensifs et ignorés en tant que risques de sécurité. Mais nos recherches démontrent que tout appareil électronique, en fin de compte, est une forme d'ordinateur. Et en tant que tels, ces appareils IoT sont vulnérables aux mêmes attaques que les ordinateurs. Tout le monde devrait être conscient des risques liés à l'utilisation de tout ce qui est connecté, en particulier quelque chose d'aussi omniprésent que l’Amazon Kindle." 

Anthony Spadafora

After living and working in South Korea for seven years, Anthony now resides in Houston, Texas where he writes about a variety of technology topics for ITProPortal and TechRadar. He has been a tech enthusiast for as long as he can remember and has spent countless hours researching and tinkering with PCs, mobile phones and game consoles.