Amazon Echo, Google Home : une faille pour écouter vos mots de passe et conversations

Sam Gamegie ! Vous étiez aux écoutes à la fenêtre ?

 
La peur avec les enceintes intelligentes type Amazon Echo ou Google Home a toujours été qu’elles puissent un jour écouter vos conversations. Des chercheurs en sécurité ont réussi à prouver que c’était possible.

Après les révélations d’Edward Snowden, nombreuses sont les personnes à s’inquiéter de la place toujours grandissante des appareils connectés dans les foyers mondiaux. Après tout, quelqu’un pourrait les utiliser pour écouter des conversations sensibles.

Eh bien figurez-vous que c’est… possible. Un groupe de recherche allemand, SRLabs, vient de le démontrer aussi bien sur Google Assistant qu’Amazon Alexa. Cela se fait grâce aux Skills et Actions, ces petites fonctionnalités que vous pouvez rajouter à vos appareils et qui sont développées par des tiers.

Tenter de récupérer un mot de passe

Tout se passe comme une arnaque habituellement réalisée par mail. Avec un simple skill (ou action) vérolé, nommé « My Lucky Horosocope », l’équipe peut pousser l’utilisateur à dévoiler son mot de passe.

La technique est assez simple dans son principe. Lors de l’activation de My Lucky Horoscope, l’application prévient qu’elle n’est pas disponible pour le pays de l’utilisateur. Mais en vérité, elle continue d’être activée et va par la suite imiter un message système prévenant d’une mise à jour. Elle invite l’utilisateur à dire « start » suivi de son mot de passe Amazon.

Les plus versés en technologie reconnaîtront immédiatement une tentative de phishing, mais ce ne sera pas nécessairement le cas d’une personne moins au fait des arnaques habituelles sur le web. La conversation est alors envoyée sur les serveurs distants de l’attaquant, qui peut récupérer votre mot de passe avec aise.

Écouter les conversations

Même principe d’utilisation, mais le Skill/Action va désormais enregistrer les conversations de l’utilisateur. Sur Amazon Alexa, l’application continue d’enregistrer même lorsque l’utilisateur a spécifiquement demandé l’arrêt.

Sur Google Assistant, l’attaque est encore plus pernicieuse puisqu’elle va continuer d’enregistrer tant qu’elle reçoit une conversation.

Là encore, l’enregistrement est ensuite transféré vers un serveur distant.

En cours de correction

Pas de panique cependant : SRLabs a déjà retiré ces applications test des plateformes de Google et Amazon, et a prévenu les deux intéressés de leurs trouvailles. Les géants de la tech ont prévenu que les vérifications d’applications disponibles dans leurs magasins respectifs seront renforcées, en prime d’ajouter de nouveaux mécanismes de protection pour empêcher ce type d’attaque à l’avenir.

Ainsi, comme pour chaque appareil connecté à internet, la course est lancée : les pirates trouveront des failles, les constructeurs les corrigeront, ils trouveront d’autres failles, et le cycle perdurera à tout jamais. Les enceintes connectées, si intimes puissent-elles être, ne sont de toute évidence pas exemptées.


Utilisez-vous Google News (Actualités en France) ? Vous pouvez suivre vos médias favoris. Suivez Frandroid sur Google News (et Numerama).