Amazon Echo, Google Home : une faille pour écouter vos mots de passe et conversations
Sam Gamegie ! Vous étiez aux écoutes à la fenêtre ?
Partager
La peur avec les enceintes intelligentes type Amazon Echo ou Google Home a toujours été qu’elles puissent un jour écouter vos conversations. Des chercheurs en sécurité ont réussi à prouver que c’était possible.
Après les révélations d’Edward Snowden, nombreuses sont les personnes à s’inquiéter de la place toujours grandissante des appareils connectés dans les foyers mondiaux. Après tout, quelqu’un pourrait les utiliser pour écouter des conversations sensibles.
Eh bien figurez-vous que c’est… possible. Un groupe de recherche allemand, SRLabs, vient de le démontrer aussi bien sur Google Assistant qu’Amazon Alexa. Cela se fait grâce aux Skills et Actions, ces petites fonctionnalités que vous pouvez rajouter à vos appareils et qui sont développées par des tiers.
Tenter de récupérer un mot de passe
Tout se passe comme une arnaque habituellement réalisée par mail. Avec un simple skill (ou action) vérolé, nommé « My Lucky Horosocope », l’équipe peut pousser l’utilisateur à dévoiler son mot de passe.
Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par YouTube. Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par YouTube avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
La technique est assez simple dans son principe. Lors de l’activation de My Lucky Horoscope, l’application prévient qu’elle n’est pas disponible pour le pays de l’utilisateur. Mais en vérité, elle continue d’être activée et va par la suite imiter un message système prévenant d’une mise à jour. Elle invite l’utilisateur à dire « start » suivi de son mot de passe Amazon.
Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par YouTube. Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par YouTube avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Les plus versés en technologie reconnaîtront immédiatement une tentative de phishing, mais ce ne sera pas nécessairement le cas d’une personne moins au fait des arnaques habituelles sur le web. La conversation est alors envoyée sur les serveurs distants de l’attaquant, qui peut récupérer votre mot de passe avec aise.
Écouter les conversations
Même principe d’utilisation, mais le Skill/Action va désormais enregistrer les conversations de l’utilisateur. Sur Amazon Alexa, l’application continue d’enregistrer même lorsque l’utilisateur a spécifiquement demandé l’arrêt.
Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par YouTube. Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par YouTube avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par YouTube. Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par YouTube avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Là encore, l’enregistrement est ensuite transféré vers un serveur distant.
En cours de correction
Pas de panique cependant : SRLabs a déjà retiré ces applications test des plateformes de Google et Amazon, et a prévenu les deux intéressés de leurs trouvailles. Les géants de la tech ont prévenu que les vérifications d’applications disponibles dans leurs magasins respectifs seront renforcées, en prime d’ajouter de nouveaux mécanismes de protection pour empêcher ce type d’attaque à l’avenir.
Ainsi, comme pour chaque appareil connecté à internet, la course est lancée : les pirates trouveront des failles, les constructeurs les corrigeront, ils trouveront d’autres failles, et le cycle perdurera à tout jamais. Les enceintes connectées, si intimes puissent-elles être, ne sont de toute évidence pas exemptées.
Envie de retrouver les meilleurs articles de Frandroid sur Google News ? Vous pouvez suivre Frandroid sur Google News en un clic.
C'est une faille humaine, pas matériel. Encore un titre bien choisi.
C'est une faille humaine, pas matériel. Encore un titre bien choisi.
Peut-être des micros cachés... Des voisins avec des téléobjectif ou des lunettes astronomiques... Je rentre dans mon bunker
Bof, c'est pas vraiment une faille. C'est juste des services qu'il ne faut pas appeler car ces derniers sont fallacieux. Installez une application sur votre téléphone, si après elle vous demande votre password Google, ça fera la même chose. C'est toujours des attaques sur l'utilisateur. Pour moi une faille ne doit pas nécessiter d'intervention humaine, sinon on est pas sur une faille mais plutôt une attaque d'ingénierie sociale
L'objet en lui même est une faille pour la vie privée ..
On vit une époque fantastique quand-même :) Surtout que ces "failles" sont peut-être des fois des backdoor laissées volontairement par les constructeurs, miam!
Désolé c'est en anglais mais ça explique mieux que je pourrais le faire: https://eu.usatoday.com/story/tech/talkingtech/2019/10/04/facebook-encryption-why-bill-barr-wants-backdoor-access-messages/3858584002/
La faille de sécurité est souvent entre le clavier et la chaise... C'est pas étonnant que le phishing s'installe aussi dans ces bidules
S'ils ne faisaient que cela. En enregistrant tout ça en fait de la data a revendre aux publicitaires.
"notre hotel n'a ni wifi, ni webcam, ni home box" pour votre bien être😊
juste laisser croire au consommateur que c'est lui qui valide😂
C'est quoi l'intérêt pour Amazon ou Google de te demander ton mot de passe qu'ils connaissent déjà?
Et puis dans ce cas en particulier il n'y a pas d'écran ni de clavier 😂
J'imagine, dans futur proche, demander quand vous allez chez des amis s'ils ont ce genre de dispositif chez eux ☻
Entre la chaise et le clavier. Parce que perso, je ne me place pas devant mon clavier pour regarder l'écran. ^^
Une faille connu depuis longtemps et comme on le dit toujours la plus grosse faille est celui qui se trouve entre l'écran et le clavier.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix