La cyber-équipe qui a piraté TikTok, WhatsApp, le cloud de Microsoft et même les ampoules Philips vient de se pencher sur Alexa d’Amazon. Et, sans surprise, elle n’a pas déçu. Après avoir « spéculé » que les 200 millions d’appareils d’Amazon « pourraient être un point d’entrée privilégié pour les pirates informatiques »,
Check Point Research vient de lever le voile pour démasquer « de sérieuses failles de sécurité chez Alexa ». Selon l’équipe, « en un seul clic, un utilisateur aurait pu abandonner son historique vocal, son adresse personnelle et le contrôle de son compte Amazon ».
Les avertissements sur les dangers des enceintes intelligentes et de leurs familles étendues d’assistants virtuels ne sont pas nouveaux. Ce sont les mêmes dispositifs qui ont causé un tel scandale l’année dernière, lorsqu’il est apparu que des humains écoutaient des conversations pour mieux entraîner l’IA. La question est différente, beaucoup plus proche du problème plus large de la sécurité de l’Internet des objets. Chaque gadget différent que vous connectez à l’internet devient une vulnérabilité potentielle. Check Point dit que les méthodes nécessaires pour pirater les appareils d’Amazon n’étaient pas particulièrement sophistiquées.
Tout d’abord, Amazon a évidemment été informé des risques et a rapidement mis à jour ses logiciels. Selon un porte-parole de l’entreprise « la sécurité de ses appareils est une priorité absolue, et qu’ils apprécient le travail de chercheurs indépendants comme Check Point qui les signalent les problèmes potentiels. Ils ont réglé ce problème peu après qu’il ait été porté à leur attention, et ils continuent à renforcer nos systèmes. Ils n’ont connaissance d’aucun cas d’utilisation de cette vulnérabilité contre leurs clients ou d’exposition d’informations sur les clients ».
Donc, tout va bien maintenant, mais comment cette menace particulière a-t-elle fonctionné ? Comme pour la plupart des attaques de ce type, elle a commencé par un lien élaboré, envoyé à une victime par courrier électronique ou par texte. Ce lien déclenchait une vulnérabilité, permettant à l’attaquant « d’installer silencieusement des compétences sur le compte Alexa d’un utilisateur, d’obtenir une liste de toutes les compétences installées sur le compte, de supprimer silencieusement une compétence installée, d’obtenir l’historique vocal ou les informations personnelles de la victime ».
Plus simplement, l’utilisateur clique sur un lien de messages qui le dirige vers un site Amazon où l’attaquant a mis en place un piège pour injecter du code malveillant. Le hacker extrait une liste des applications Alexa installées par l’utilisateur et de leur jeton de sécurité, supprime l’une des applications et installe l’une des siennes avec la même phrase de déclenchement. Dès que l’utilisateur dit à Alexa d’exécuter cette application, le pirate est en activité.
Une telle attaque peut être sporadique – envoyée à des utilisateurs au hasard pour voir combien d’entre eux mordent, ou elle peut viser un individu en particulier. Dans ce dernier cas, Oded Vanunu de Check Point ajoute : « un attaquant pourrait mener une attaque plus élaborée en obtenant la liste des compétences et en remplaçant une de ses compétences par une compétence malveillante d’apparence similaire ». Et bien que l’exploit ne soit pas particulièrement sophistiqué techniquement, « une combinaison de mauvaises configurations XSS, CSRF et CORS », pour un utilisateur, cette attaque semblerait « transparente et sophistiquée ».
Comme toujours avec ce genre de révélations, les détails techniques ne sont pas pertinents pour la plupart des utilisateurs. Les vulnérabilités ont été corrigées : les utilisateurs doivent simplement s’assurer que leurs appareils sont toujours mis à jour, ce qui devrait se faire automatiquement. Le message vraiment important est de comprendre comment se prémunir contre le risque de telles attaques, en s’assurant de ne pas se laisser aller et de ne pas laisser sa maison ouverte.
« Nous publions des conseils de sécurité et des directives sur l’utilisation d’Alexa », explique Ekram Ahmed, porte-parole de Check Point. « Évitez les applications inconnues – ne les installez pas sur votre haut-parleur intelligent. Faites attention aux informations sensibles que vous partagez avec votre smart speaker, comme les mots de passe et les comptes bancaires. De nos jours, n’importe qui peut créer des applications d’assistant intelligent, alors renseignez-vous sur l’application avant de l’installer et vérifiez les autorisations dont elle a besoin. Tout le monde peut publier une compétence, et les compétences peuvent effectuer des actions et obtenir des informations ».
Un assistant virtuel devient d’autant plus utile qu’il possède plus d’applications et de données auxquelles il a accès – c’est là le problème. « Les informations personnelles de tout utilisateur qui ont été partagées avec l’appareil Alexa pourraient être potentiellement en danger », a expliqué Oded Vanunu. « Ces applications pourraient être des applications financières ou de détail. Avec cette attaque, je pourrais désinstaller et installer de fausses applications qui seront déclenchées par un appel à l’application désinstallée sécurisée ».
A la question : une telle attaque pouvait faire le lien avec la technologie de surveillance dans une maison ? Oded Vanunu a répondu : oui. « L’attaquant peut potentiellement accéder à des caméras non sécurisées si le développeur de la caméra a créé une compétence Alexa avec une authentification mal gérée. Dans ce scénario, l’attaquant pourrait désinstaller la compétence caméra et la remplacer par une compétence malveillante qui enverrait toutes les images à l’attaquant ».
Une telle attaque pouvait faire le lien avec la technologie de surveillance dans une maison ? Pour Oded Vanunu, si « L’attaquant peut potentiellement accéder à des caméras non sécurisées si le développeur de la caméra a créé une compétence Alexa avec une authentification mal gérée. Dans ce scénario, l’attaquant pourrait désinstaller la compétence caméra et la remplacer par une compétence malveillante qui enverrait toutes les images à l’attaquant ».
Comme toujours, plus nous installons et déployons cette technologie, plus nous courons de risques. Ces problèmes ont été corrigés, mais il est bon de prendre cela comme un avertissement opportun, car surcharger les haut-parleurs intelligents avec la même pléthore d’applications qui encombrent maintenant nos smartphones n’est pas une bonne idée. Les mêmes avertissements s’appliquent. N’installez pas d’applications que vous ne pouvez pas vérifier ou qui proviennent de sources auxquelles vous ne faites pas entièrement confiance. Ces appareils sont placés dans nos foyers et peuvent écouter tout ce que nous disons, en contrôlant tout ce que nous faisons. Cela vaut la peine d’y réfléchir.
<< Article traduit de Forbes US – Auteur (e) : Zac Doffman >>
<<< A lire également : Assistants Vocaux : Comment Amazon Éduque Alexa >>>
Vous avez aimé cet article ? Likez Forbes sur Facebook
Newsletter quotidienne Forbes
Recevez chaque matin l’essentiel de l’actualité business et entrepreneuriat.
Abonnez-vous au magazine papier
et découvrez chaque trimestre :
- Des dossiers et analyses exclusifs sur des stratégies d'entreprises
- Des témoignages et interviews de stars de l'entrepreneuriat
- Nos classements de femmes et hommes d'affaires
- Notre sélection lifestyle
- Et de nombreux autres contenus inédits