Les enceintes connectées Amazon et Google, passoires de sécurité?
Les enceintes intelligentes à commande vocale suscitent l’inquiétude quant à la sécurité des données des utilisateurs. Et la découverte de “white hat hackers” du Germany Security Research Labs ne risque pas d’arranger les choses. Il s’agit de hackers éthiques dont l’objectif est de dénicher des failles de sécurité qui pourraient être exploitées par des pirates malveillants. Pour prouver la vulnérabilité de ces appareils, ils ont développé huit applications malveillantes, quatre pour l’enceinte Alexa d’Amazon, et autant pour le Google Home, a repéré le site Ars Technica.
Toutes ont passé sans encombre les tests de sécurité d’Amazon et de Google. Parmi elles, une application d’astrologie et un générateur de nombre aléatoire avec en coulisse un but bien précis: dérober les données des utilisateurs. En France, 1,7 million de personnes utilisent des enceintes connectées, selon une étude Médiamétrie publiée en décembre.
Un micro qui reste ouvert
Les hackers ont expérimenté plusieurs scénarios. Certaines applications fonctionnaient normalement, du moins en apparence: au lieu d’éteindre le micro une fois l'information réclamée par l'utilisateur fournie, l’enceinte continuait de l’écouter. Espérant glaner des informations sensibles.
Dérober le mot de passe de l'utilisateur
D’autres applications feignaient de ne pas fonctionner et récitaient un message d’erreur au moment de leur activation par la commande vocale. Après un long silence, l’application malveillante proposait à l’utilisateur d’effectuer une mise à jour en confirmant son mot de passe Google.
Il s’agit d’une tentative de hameçonnage visant à pirater le compte de l’utilisateur. En temps normal, aucun assistant vocal ne demande de fournir une information aussi sensible à haute voix.
Les applications malveillantes n'avaient pas besoin d'être téléchargées manuellement. Il suffisait de prononcer la bonne phrase pour qu'elles soient mises en route. Ce qui présente un grand danger: si les pirates en choisissent une qui se rapproche de celle d’un service sécurisé, un utilisateur peut aisément se tromper et activer la frauduleuse.
Google et Amazon ont supprimé les applications, mais uniquement après avoir reçu les rapports des hackers. Ils assurent avoir renforcé leurs processus d’évaluation pour éviter que des services similaires ne soient mis en ligne dans le futur.
Les plus lus
Événements annulés, plannings modifiés... Les maires face au casse-tête de l'organisation des législatives
"C'est trop court pour s'organiser": ces Français bloqués malgré l'"urgence" d'aller voter aux législatives
De "Message personnel" à "Comment te dire adieu", les chansons cultes de Françoise Hardy
Vêtements, chaussures... pour s'habiller les Français privilégient les prix très bas
Euro 2024: comment battre ses amis et collègues aux concours de pronostics?