Les assistants vocaux (Siri, Cortana, Google Assistant, Alexa…) et les micros de nos smartphones sont sensibles aux ultrasons, non par négligence mais vraisemblablement par nécessité. © Akebonostock, Fotolia

Tech

Siri, Cortana, Google Assistant et Alexa piratés avec des ultrasons

ActualitéClassé sous :smartphone , intelligence artificielle , Google

En Chine, des chercheurs ont démontré qu'il est possible de détourner n'importe quel assistant vocal du marché (Siri, Cortana, Google Assistant, Alexa...) en lui susurrant des commandes par ultrasons, inaudibles des humains donc.

  • Tous les assistants vocaux et les microphones des appareils connectés sont sensibles aux ultrasons.
  • Grâce à un appareillage simple et peu onéreux, des chercheurs sont parvenus à émettre des commandes inaudibles sur des smartphones, des ordinateurs, des montres et enceintes connectées.

Que ce soit dans les smartphones, les enceintes connectées, certaines voitures et téléviseurs, les assistants virtuels commandés à la voix nous promettent une interaction plus intuitive. Pour ce faire, ces systèmes disposent de microphones ultrasensibles et d'une écoute passive qui nous permet de les activer à tout moment avec une simple phrase clé.

Mais ce design a créé une faille de sécurité qui déconcerte par son évidence et inquiète par son potentiel de nuisance. Des chercheurs de l'université de Zhejiang (Chine) sont ainsi parvenus à prendre le contrôle des principaux assistants vocaux en se servant de commandes converties en ultrasons inaudibles. Ils ont pu passer un appel depuis un iPhone verrouillé, ouvrir une URL, demander à une enceinte Alexa d'ouvrir une serrure électronique et même modifier un itinéraire dans le système de navigation d'une Audi Q3.

DolphinAttack fonctionne avec tous les assistants vocaux du marché

Ce piratage baptisé DolphinAttack a été testé avec succès en cinq langues (anglais, allemand, chinois, espagnol, français) sur Siri (Apple), Alexa (Amazon), Google Assistant, Cortana (Microsoft), S Voice (Samsung) et HiVoice (Huawei). Et cela fonctionne aussi bien sur des smartphones et des tablettes que des ordinateurs macOS ou Windows. Qui plus est, l'équipement nécessaire est assez simple et peu onéreux : un téléphone mobile équipé d'un transducteur ultrasonique et d'un amplificateur, le tout coûtant moins de 5 euros.

La portée est assez courte, 1,65 mètre maximum, mais il serait probablement assez facile d'amplifier le signal. Dans un lieu public, un pirate pourrait aisément s'approcher de sa victime et activer une commande sur son smartphone glissé dans une poche ou un sac.

Face à cette situation, la question que tout le monde se pose est : pourquoi les concepteurs des assistants vocaux et les fabricants des appareils qui les utilisent n'ont-ils pas pris de précautions ? Un bridage des microphones et du logiciel pour ne prendre en compte que les sons audibles serait vraisemblablement envisageable. Alors, comment se fait-il que rien n'ait été fait ?

Dans cette vidéo de démonstration, les chercheurs commencent par émettre une commande vocale audible vers un iPhone pour lui demander de composer un numéro. Ensuite, ils verrouillent le smartphone, puis émettent la même commande sous forme d’ultrasons. On peut voir l’écran s’allumer et la composition du numéro s’exécuter sans un son. © Guoming Zhang, YouTube

Pas une négligence technique mais un choix d’efficacité

Si, pour le moment, aucune des marques citées dans l'étude n'a réagi officiellement, plusieurs hypothèses peuvent expliquer cette situation. Il ne s'agit peut-être pas d'une négligence de la part des ingénieurs, mais plutôt d'un choix technique délibéré pour rendre leurs produits les plus efficaces possible. En effet, pour fonctionner de façon optimale, un assistant vocal et le microphone qui écoute les commandes ont sans doute besoin des fréquences des ultrasons (au-delà de 20 kHz), qui les aident à identifier une voix humaine, notamment dans un environnement bruyant.

Par ailleurs, comme le souligne le site Fast Co. Design (du magazine Fast Company), certains constructeurs se servent des ultrasons pour la communication entre leurs appareils. C'est le cas notamment du boîtier Chromecast, de Google, et du système Dash Button, d'Amazon. Pour le moment, la seule parade viable dont disposent les utilisateurs d'assistants vocaux est de désactiver le système d'écoute passive. Mais cela va à l'encontre du principe même de ce type de service...