Les propriétaires d'appareils Amazon Echo ont récemment été avertis que ces derniers pourraient avoir été compromis, en raison d'une faille de sécurité dans le service de reconnaissance vocale d'Alexa.
Des chercheurs de la société de sécurité Check Point ont en effet découvert des vulnérabilités dans certains sous-domaines d'Amazon et d'Alexa qui auraient pu permettre à des personnes extérieures d'accéder à l'historique vocal d'un utilisateur.
Cela inclut toutes les recherches vocales et l'historique des conversations effectuées par chaque utilisateur. Nombre de données personnelles pourraient avoir été consultées et potentiellement volées.
- Google Home : une mise à jour imprévue pour mieux vous écouter ?
- Zoom attaqué en justice aux États-Unis pour avoir menti sur sa sécurité
- La dernière mise à jour du Google Nest Hub Max vous donne accès à une tonne de nouveaux jeux
Une faille de sécurité totalement invisible
Le piège est d'autant plus facile que la faille s'ouvre via un simple clic sur un lien malveillant envoyé par le pirate. Selon Check Point, l'attaque aurait également pu permettre aux pirates de supprimer ou d'installer des applications (appelées compétences) sur le compte Alexa de la victime, ce qui signifie que des programmes malveillants seraient insérés pour voler des informations plus personnelles.
En plus de cliquer sur le lien malveillant, une interaction vocale semblerait nécessaire pour activer la vulnérabilité. Les chercheurs ont cependant noté que les pirates pouvaient contourner ce problème en créant une compétence Alexa distincte qui nécessitait la même phrase d'activation qu’une commande normale. De sorte que lorsque l'utilisateur prononcerait la "phrase d'invocation", il activerait involontairement la compétence malveillante.
"Les enceintes intelligentes et les assistants virtuels sont désormais tellement courants qu'il est facile de ne pas tenir compte de la quantité de données personnelles qu'ils détiennent, ni de leur rôle dans le contrôle d'autres appareils connectés dans nos foyers. Mais les pirates informatiques les considèrent comme des points d'entrée évidents, leur donnant la possibilité d'accéder à des données, d'écouter des conversations ou de mener d'autres actions malveillantes à l'insu de leur propriétaire", a déclaré Oded Vanunu, responsable de la recherche sur les vulnérabilités des produits chez Check Point.
"Nous avons mené cette recherche pour souligner combien la sécurisation de ces dispositifs est essentielle pour préserver la vie privée des utilisateurs. Nous espérons que les fabricants de dispositifs similaires suivront l'exemple d'Amazon et vérifieront que leurs produits ne présentent pas de vulnérabilités susceptibles de compromettre la vie privée des utilisateurs. Alexa nous préoccupe depuis un certain temps déjà, étant donné son omniprésence et sa connexion à l'Internet des objets. Ce sont ces gigantesques plates-formes numériques qui présentent le plus grand risque de sécurité et qui peuvent nous nuire le plus. C'est pourquoi leurs niveaux de sécurité sont d'une importance cruciale".
Check Point affirme avoir signalé le problème à Amazon en juin, la société ayant corrigé la faille peu après.
"La sécurité de nos appareils est une priorité absolue, et nous apprécions le travail de chercheurs indépendants comme Check Point qui mettent en évidence des problèmes potentiels", a déclaré Amazon à la BBC.
