Des chercheurs en sécurité ont découvert qu'il était possible d'espionner des conversations en ajoutant du code dans les applications des enceintes connectées d'Amazon et de Google. Il s'agit d'une forme de phishing vocal pour obliger les utilisateurs à donner des infos confidentielles comme un mot de passe ou une adresse email, mais aussi pour les enregistrer à leur insu.


au sommaire


    Comme l'expliquait Kaspersky la semaine dernière, les pirates s’attaquent de manière massive contre les objets connectés, et les enceintes commercialisées par Amazon et GoogleGoogle n'échappent pas à ces cyberattaques. Ainsi, des chercheurs en sécurité de Security Research Labs (SRLabs) révèlent que des hackers ont la possibilité d'activer le micro des enceintes à l'insu des utilisateurs. Ce qui signifie qu'ils peuvent écouter et enregistrer les conversations. Ils sont aussi capables d'en récupérer le mot de passe...

    Ce n'est pas la première fois que les enceintes Echo et Google Home sont la cible de pirates, mais cette fois, les attaques s'apparentent à du phishing, et comme il s'agit d'une arnaque par la voix, on appelle ça du « vishing ». Dans leur démonstration, les chercheurs ont créé une applicationapplication tierce, qu'on appelle Skills chez Alexa. Dans le premier cas, il s'agit de demander le mot de passe de l'utilisateur, et pour cela, les pirates utilisent une mise à jour de leur application. En fait, AmazonAmazon et Google vérifient la sécurité d'une application avant sa publication, mais ils ne vérifient pas leurs mises à jour publiées ensuite.

    Feindre un bug pour obliger l'utilisateur à donner son mot de passe

    Les pirates peuvent ainsi insérer du code malicieux dans une mise à jour sans se faire repérer. Ils intègrent ainsi un faux message d'erreur à la place du message de bienvenue, disponible lors du lancement : « Cette skill n'est actuellement pas disponible dans votre pays. »  L'utilisateur pense alors que l'application ne fonctionne plus puisqu'elle n'est pas disponible. Sauf que le micro reste activé, à l'insu de l'utilisateur. Puis, au bout d'un certain temps, le message de phishing est prononcé : « Une mise à jour de sécurité importante est disponible pour votre appareil. Veuillez signifier le début de la mise à jour suivi de votre mot de passe. »

    Dès que l'utilisateur prononce « start », pour lancer la mise à jour, tout ce qui suit est envoyé aux pirates... et donc le mot de passe. Les chercheurs expliquent d'ailleurs qu'il est parfaitement possible de demander une adresse email, en plus du mot de passe.

    La démonstration du phishing avec une enceinte Amazon. © SRLabs

    Sur Google Home, l'espionnage peut être sans limite de temps

    L'autre méthode consiste à feindre l'arrêt de l'enceinte, alors que le micro continue d'enregistrer. Pour les appareils fonctionnant avec Alexa, l'enregistrement vocal est lancé lorsque l'utilisateur prononce certains mots imposés par le développeur d'une skill. Cela permet de choisir des mots courants pour lancer des fonctions. Les experts ont découvert qu'il était possible d'ajouter une séquence de caractères imprononçable à une commande vocale. Comme par exemple, « bye » ou « au revoir ». L'utilisateur pense fermer l'application, et donc le micro, sauf que l'ajout d'une suite de caractères imprononçable (�), par le pirate, permet de prolonger la session. C'est comme si le pirate avait ajouté un « e » muet derrière « bye ». L'utilisateur pense fermer l'application, mais le micro reste ouvert...

    Sur Google Home, la faille utilise le même principe avec l'ajout d'un bref silence après une commande ou une suite de caractères imprononçable (�), mais le danger serait encore plus grand puisque le pirate pourrait surveiller les conversations sans limite de temps, et il pourrait même prendre la main sur toutes les commandes qui suivent l'habituel « OK Google », et ainsi imiter le fonctionnement d'applications populaires pour d'autres actions de « vishing ».

    Les deux experts ont prévenu Amazon et Google de leurs découvertes, et si Google a immédiatement réagi en corrigeant la faille, pour l'instant, le fabricant des enceintes AlexaAlexa n'a pas répondu à leur découverte.

    Sur Google Home, le leurre permet d'enregistrer chaque conversation comme une commande et ainsi de les envoyer au serveur du pirate. © SRLabs


    Siri, Cortana, Google Assistant et Alexa piratés avec des ultrasons

    En Chine, des chercheurs ont démontré qu'il est possible de détourner n'importe quel assistant vocalassistant vocal du marché (Siri, CortanaCortana, Google AssistantGoogle Assistant, Alexa...) en lui susurrant des commandes par ultrasonsultrasons, inaudibles des humains donc.

    Publié le 08/09/2017 par Marc ZaffagniMarc Zaffagni

    Que ce soit dans les smartphones, les enceintes connectées, certaines voituresvoitures et téléviseurs, les assistants virtuels commandés à la voix nous promettent une interaction plus intuitive. Pour ce faire, ces systèmes disposent de microphones ultrasensibles et d'une écoute passive qui nous permet de les activer à tout moment avec une simple phrase clé.

    Mais ce design a créé une faille de sécurité qui déconcerte par son évidence et inquiète par son potentiel de nuisancenuisance. Des chercheurs de l'université de Zhejiang (Chine) sont ainsi parvenus à prendre le contrôle des principaux assistants vocaux en se servant de commandes converties en ultrasons inaudibles. Ils ont pu passer un appel depuis un iPhone verrouillé, ouvrir une URL, demander à une enceinte Alexa d'ouvrir une serrure électronique et même modifier un itinéraire dans le système de navigation d'une Audi Q3.

    DolphinAttack fonctionne avec tous les assistants vocaux du marché

    Ce piratage baptisé DolphinAttack a été testé avec succès en cinq langues (anglais, allemand, chinois, espagnol, français) sur Siri (Apple), Alexa (Amazon), Google Assistant, Cortana (Microsoft), S Voice (SamsungSamsung) et HiVoice (Huawei). Et cela fonctionne aussi bien sur des smartphones et des tablettes que des ordinateurs macOS ou Windows. Qui plus est, l'équipement nécessaire est assez simple et peu onéreux : un téléphone mobile équipé d'un transducteur ultrasonique et d'un amplificateur, le tout coûtant moins de 5 euros.

    La portée est assez courte, 1,65 mètre maximum, mais il serait probablement assez facile d'amplifier le signal. Dans un lieu public, un pirate pourrait aisément s'approcher de sa victime et activer une commande sur son smartphone glissé dans une poche ou un sac.

    Face à cette situation, la question que tout le monde se pose est : pourquoi les concepteurs des assistants vocaux et les fabricants des appareils qui les utilisent n'ont-ils pas pris de précautions ? Un bridage des microphones et du logiciellogiciel pour ne prendre en compte que les sons audibles serait vraisemblablement envisageable. Alors, comment se fait-il que rien n'ait été fait ?


    Dans cette vidéo de démonstration, les chercheurs commencent par émettre une commande vocale audible vers un iPhone pour lui demander de composer un numéro. Ensuite, ils verrouillent le smartphone, puis émettent la même commande sous forme d’ultrasons. On peut voir l’écran s’allumer et la composition du numéro s’exécuter sans un son. © Guoming Zhang, YouTube

    Pas une négligence technique mais un choix d’efficacité

    Si, pour le moment, aucune des marques citées dans l'étude n'a réagi officiellement, plusieurs hypothèses peuvent expliquer cette situation. Il ne s'agit peut-être pas d'une négligence de la part des ingénieurs, mais plutôt d'un choix technique délibéré pour rendre leurs produits les plus efficaces possible. En effet, pour fonctionner de façon optimale, un assistant vocal et le microphone qui écoute les commandes ont sans doute besoin des fréquences des ultrasons (au-delà de 20 kHz), qui les aident à identifier une voix humaine, notamment dans un environnement bruyant.

    Par ailleurs, comme le souligne le site Fast Co. Design (du magazine Fast Company), certains constructeurs se servent des ultrasons pour la communication entre leurs appareils. C'est le cas notamment du boîtier Chromecast, de Google, et du système Dash Button, d'Amazon. Pour le moment, la seule parade viable dont disposent les utilisateurs d'assistants vocaux est de désactiver le système d'écoute passive. Mais cela va à l'encontre du principe même de ce type de service...