Google Assistant, Amazon Alexa, Microsoft Cortana, Apple Siri, Samsung Bixby… Toutes les grandes entreprises de la Tech proposent leurs propres assistants intelligents. Pour interagir avec ces derniers, il suffit de leur parler à haute voix. Ou on peut aussi leur envoyer des ultrasons.
Une équipe de chercheurs en Chine a en effet découvert une faille de sécurité dans ces assistants. Dans une étude (PDF), Les scientifiques expliquent avoir utilisé une technique baptisée « DolphinAttack », qui permet de retranscrire des commandes vocales en fréquences ultrasoniques. L’oreille humaine est incapable d’entendre celles-ci, mais les micros et les logiciels embarqués par les assistants de nos appareils les distinguent parfaitement.
Tous les appareils sont concernés
La traduction de ces commandes vocales en ultrasons ne semble pas particulièrement compliquée et permet donc de commander Google Assistant, Siri ou Alexa comme on l’entend. Les tests ont été menés sur divers appareils incluant des iPhone, des Google Nexus, l’enceinte Amazon Echo ou même des voitures connectées. On peut par ailleurs supposer que davantage de terminaux non cités ici souffrent de la même faille.
Les chercheurs ont non seulement pu activer les assistants avec les phrases clés « Hey Siri » ou « OK Google », mais ils ont également pu lancer des requêtes telles que « appelle le 1234567890 » ou demander à un iPad de lancer un FaceTime. Vous vous en doutez, ce genre de failles peut facilement mener à des piratages.
Un hacker pourrait ainsi, grâce aux ultrasons, demander à l’assistant d’ouvrir une URL infectée pour télécharger un virus. Les chercheurs ont d’ailleurs réussi à le faire avec un MacBook et une Nexus 7. Dans une maison connectée, ils ont réussi à demander à Alexa d’ouvrir la porte arrière. Sur une Audi Q3, ils ont pu parasiter le système de navigation pour changer la destination.
« Les commandes vocales inaudibles remettent en cause l’hypothèse courante selon laquelle les adversaires peuvent tout au plus essayer de manipuler un [assistant vocal] vocalement et être détecté par un utilisateur averti », écrivent les chercheurs. En d’autres termes, même les personnes les plus méfiantes peuvent se faire piéger. Même si on n’entend pas un hacker parler, nos machines, elles, le peuvent.
3 dollars d’équipement
Pour mener leurs attaques, les scientifiques ont utilisé un smartphone boosté par un peu de matériel hardware dont la somme ne dépasse pas les 3 dollars. Autrement dit, DolphinAttack nécessite très peu de moyens et quelques connaissances techniques.
Mais ne paniquons pas tout de suite non plus. Pour bien mener son attaque, le hacker a besoin de se trouver à proximité de l’appareil. Ainsi, pour ouvrir une porte de la maison avec Amazon Echo, le cambrioleur a besoin d’être déjà à l’intérieur du foyer. Cependant, si vous êtes ciblés par un pirate, celui-ci n’aura qu’à marcher près de vous dans une foule de personnes pour activer l’assistant intelligent de votre téléphone ou de votre montre connectée.
Si vous êtes un brin parano, vous pouvez toujours désactiver les paramètres always-on de votre assistant.
Notre émission Twitch SURVOLTÉS, c’est un mercredi sur deux de 17h à 19h : retrouvez-vous nous pour parler voiture électrique ou vélo électrique, autour de débats, d’interviews, d’analyses et de jeux !
Oui c'est le seul truc utile que je vois, et encore faut être seul dans sa voiture. C'est quoi les "tant d'autres" ? ^^
Ils vont dire que ça ne compte pas.
Il y a plein de possibilités. Un exemple parmi tant d'autres (du vécu): envoyer un sms en conduisant (sans avoir à lâcher le volant ou quitter la route des yeux) pour dire qu'on est dans les embouteillages et qu'on sera en retard
c'est pour ca que j'ai déjà eu à faire à des pc vérolé
J'en ai déjà eu l'utilité plusieurs fois. Par exemple, je cuisinais et j'avais besoin de mettre un minuteur. Ben au lieu de devoir aller me laver les mains pour pas foutre du haché partout, je l'ai fait vocalement par Google assistant
C'est mieux que gagner du temps, puisque normalement tu ne peux pas être sur ton téléphone au volant... On peut écrire les commandes via un clavier virtuel aussi.
Lol on voit que t'y connais rien !
Ok jcomprend que tu peux gagner un peu de temps quand t'es au volant, ça ça pourrait être pratique uniquement si t'es tout seul dans ta voiture. Apres en publique c'est un peu la honte quand même ^^ Après ya rien d'impressionnant pour moi, la reconnaissance vocale ça fait déjà un bail qu'elle marche bien, et choper une infos dans le tableau de wikipedia c'est très facile a faire.
Les virus sur mac et iPhone ça existe je t'en veux pas
J'ai jamais dis que tu la regardais, faut apprendre a lire aussi, demande a ton assistant de t'expliquer, t'y arrives pas tout seul en effet... En fait jconfirme c'est utile pour ceux qui n'ont pas de cerveau de ton genre. Les favoris dans google, facebook, google sait deja plein de truc sur moi donc je lui donne tout... Ok t'es foutu toi ^^
Oui entre autre. Toi c'est quoi que tu trouves utile dedans car j'arrive pas a voir l'intérêt?
Dans l'absolu, ce n'est pas totalement faux ce qu'il dit. Est-ce qu'il y a un réel intérêt à demander quelque chose à une enceinte connectée pour avoir la réponse dans les 5 secondes ? Quelle info est d'une nécessité telle, que tu dépenses de l'argent dans une enceinte connectée pour l'avoir ?
Quand he conduis j'avoue c'est vraiment pratique. Mais à la maison, après avoir rigolé 15 minutes avec "raconte moi une blague" "est-ce que tu m'aimes" ou "en quelle année truc bidule", ça ne sert à rien...
C'est plutôt dans ce sens là qu'il faut le voir !!
Heu je viens de lire la conversation... Et tu répète à plusieurs reprises que Google assistant sert à faire des recherches par la voie... Je m'en sers pour tout sauf pour faire des recherches ?
ah oui la bibliotheque !. ca c'est bien. pour 10€ / an je lis des centaines de bd , sur du vrai papier.
et pourtant c'est bien ce que revendique les gens qui revent de domotique ! plus de serrure et un iphone, avec une programmation fine pour autoriser la nounou entre 19h et 23h, la belle mere entre 10 et 12 le mardi, etc plus de plip mais l'iphone dans la poche pour ouvrir sa voiture automatiquement. voir meme le coffre quand le gps detecte que vous etes a carrefour au lieu ... le monde est bien taré ?
Il y a des limites à la domotique qu'il faut savoir garder. Ça ne me viendrait pas à l'idée d'avoir une application pour ouvrir ou fermer mes portes voir même ma voiture ...
Je ne regarde pas la tv donc t'es gentil, ne m'invente pas une vie, c'est juste un exemple comme un autre :) Et please BFM, j'ai que ça à foutre de regarder ça alors qu'il y a secret story en ce moment ? Tiens d'autres exemples : Ta clé de voiture à distance ne sert à rien non plus, tu peux l'utiliser comme une clé normale, les favoris dans Google ne servent à rien, tu peux retenir les noms des sites ... Facebook sur téléphone ? On l'a déjà sur le PC ! Tu crois vraiment que Google en a qqch à foutre des données personnelles de "GazGaz78" ? C'est sur du big data qu'ils travaillent et de toute façon crois moi qu'ils connaissent déjà de toi beaucoup plus que ce que tu penses, c'est pas avec un assistant que ça va changer...
Les stations sont aussi dans Google Maps, mais l'intérêt est de lancer une commande vocale alors qu'on est au volant. Pour le fil d'actu, c'est au format audio et il y a plusieurs sources (j'écoute par exemple RFI et Fox News) Comme l'a dit quelqu'un d'autre avant moi: c'est un gain de temps. On pourrait aussi dire qu'au lieu de faire une recherche sur Wikipedia, on peut aller consulter les registres. Ce qui est impressionnant c'est qu'il ait compris la question et qu'il puisse trouver l'info dans un article.
Bof perso j'en vois vraiment pas l'intérêt. Les stations jles ai sur mon gps de base sygic. Pour le sms a la limite. Le dernier flux rss d'actu c'est google news. Et pour ton info du nombre d'habitants, tu recherche new york dans google. Tu va sur le lien wikipedia et ta la reponse. Quelle intelligence de folie dans gogole assistant ^^
A vouloir tout controler a la voix et depuis son precieux smartphone en devient debile et inutile . l'homme en oubli l'essenciel. nous n'avons ni besoin de deverrouiller la porte de nos maisons en un clic, ni remonter 3 volets a 8h43, ni questionner a la voix une machinerie commerciale pour avoir meteo et temperature rectale du petit dernier. Et je me languis de voir se multiplier les pannes reseaux, le piratage de vos frigos, ou l'ouverture du coffre de votre auto dans le futur. c'est drolesque
Il fait bien plus que lancer une recherche à partir de ce qu'on lui dit: on peut lancer des commandes (comme envoyer un sms alors qu'on conduit ou demander à Google Maps d'afficher la station la plus proche), le matin, j'aime qu'il me trouve le dernier flux RSS pour l'actu. Sinon il peut te trouver une info précise (combien d'habitants à New York par exemple) sans que tu n'aies à lire un article pour trouver l'info. Ça, c'est bien plus complexe que de lancer une simple recherche
Waw la révolution, donner l'accès a tout son réseau a Google juste pour gagner 1 minute même pas. Les gens se feront une idée sur l'abruti ^^ La télécommande de la tv jconfirme qu'elle sert a rien, y'a que les abrutis de ton espèce qui regardent encore les conneries de la tv. Mate bien bfm c'est calibré pour toi ;)
Si on lui explique elle peut comprendre oui, mais de base elle sera piratée easy.
Bah non car tu as quand même bien plus d'infos sur internet que dans une bibliotheque dans laquelle tu ferais des recherches. La le google assistant il n'a pas plus d'infos. Il fait juste une recherche a partir de ce que tu lui dicte. Et en plus il va filtrer les réponses données, tout en pompant au passage toutes tes données persos. Enfin bon sélection naturelle, tant pis pour ceux qui utilisent ça.
J'ai des parts chez logitech, moi aussi jme met a faire ma putaclic, effet frandroid ^^
Ou plutôt le truc comprend tellement rien que les attaques ne fonctionnes pas :D
c'est comme beaucoup de nouvelles technologies, il y a toujours un début ou des personnes trouvent ça inutiles et au final des années après c'est devenu normal dans la vie de tous les jours. Avant pour trouver une infos tu allais à la bibliothèque et pas sur google alors sommes nous tous des assistés maintenant ? :)
Ça pourrait presque faire un titre de news sur Frandroid !
Et tu as publié ton astuce choquante sur XDA ?
ggggrrrrr
Les vendeurs de claviers aiment ça !
"Un hacker pourrait ainsi, grâce aux ultrasons, demander à l’assistant d’ouvrir une URL infectée pour télécharger un virus. Les chercheurs ont d’ailleurs réussi à le faire avec un MacBook et une Nexus 7. " On y croit un virus sur un mac, mais oui... on nous prend pour des jambons !!! Sinon on notera que Cortana n'a pas réussi à être attaquée !!! Comme quoi Microsoft sait aussi fait du bon taf !
pour les initiés, ça coule de source, mais pour madame michu penses-tu qu'elle ait le même raisonnement?
C'est débile ce que tu dis non ? La télécommande de la télé ne sert à rien, il y a déjà les boutons dessus ? La direction assistée ne sert à rien, on peut tourner sans ? C'est un plus qui peut faire gagner du temps et ça ne sert pas juste à "tapper une recherche dans google" mais aussi à contrôler tes appareils domotiques si tu en as. Et je sais pas pourquoi je feed un abruti pareil sérieux ...
... et retourner à la préhistoire ??? JAMAIS !!!
OH MON DIEU LE MONDE DEVIENT DONC FOU ?!
Tout simplement ne pas être un gros assisté de la vie, ne pas utiliser cette dobe d'assistant, et savoir tapper une recherche dans google comme une grande personne. ;)
j'ai réussi à pirater la TV du voisin en utilisant un émetteur infrarouge, que par définition il ne peut pas voir. j'ai pu éteindre et allumer sa TV, mais aussi changer de chaîne à son insu.
pauvre bête
Acheter un chien
donc c'est quoi la solution? construire un filtre passe-bas à 20khz? attendre une hypothétique MAJ du fabricant?
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix