Les chercheurs en sécurité de SRLabs ont révélé une nouvelle faille critique affectant les assistants intelligents de Google Home et Amazon Echo. Ces brèches pourraient permettre aux pirates d’espionner ou même cibler les utilisateurs par du phishing. En téléchargeant un logiciel malveillant, a première vue inoffensif et déguisé en Alexa ou Action Google, les chercheurs de SRLabs ont montré comment induire en erreur les assistants vocaux afin qu’ils enregistrent les utilisateurs en toute discrétion, ou simplement en demandant le mot de passe de leur compte Google.
Un démonstration à charge
Dans une série de vidéos, l’équipe de SRLabs a montré le fonctionnement des piratages. L’une avec « Action » pour Google Home, permet à l’utilisateur de demander qu’un nombre aléatoire soit généré. « Action » exécute alors la tâche mais le logiciel continue d’écouter l’utilisateur, et ce, plusieurs minutes après avoir exécuté sa commande initiale.
Un autre exemple exploite la compétence horoscope pour Alexa au cours duquel le logiciel malveillant parvient a ignorer une commande « stop » de l’utilisateur et continue d’écouter discrètement.
Pour le démontrer, SRLabs a publié deux vidéos montrant comment Action de Google et Alexa d’Amazon peuvent être manipulés pour donner de faux messages d’erreurs et renvoyer peu de temps après une demande de mot de passe avec un message factice.
Démonstration de vulnérabilité avec Amazon Alexa :
Démonstration de vulnérabilité sur Google Home :
Dans tous les cas, l’équipe a pu exploiter une faille au sein des deux assistants vocaux, ce qui leur a permis d’écouter l’environnement beaucoup plus longtemps que la normale. Les logiciels malveillants ont accompli cette prouesse en fournissant aux assistants vocaux une série de caractères imprononçables par Alexa et Google Action qui réagissent en restant muets tout en activant le système d’écoute. Tout ce que dit l’utilisateur est alors automatiquement enregistré et envoyé au pirate informatique.
Google et Amazon sur le pied de guerre
Les logiciels tiers destinés à l’un ou l’autre des assistants vocaux sont systématiquement vérifiés et approuvés par Google et Amazon avant même d’être disponibles sur leurs enceintes intelligentes. Toutefois, les experts font remarquer que les deux firmes américaines ne vérifient pas les mises à jour des applications existantes, ce qui a permis aux chercheurs d’intégrer du code malveillant dans leur logiciel suite à une mise à jour.
Montrés du doigt, les deux géants de l’internet n’ont pas tardé à réagir. Amazon déclaré avoir mis en place des mesures pour empêcher ce type d’intrusion. Google a également expliqué qu’il disposait d’un processus de détection de ce type de comportement et que les techniciens avaient supprimé les actions ajoutées par les chercheurs en sécurité. Un porte-parole de Google a par ailleurs confirmé que la société procédait à un examen interne de toutes les applications tiers et avait temporairement désactivé certaines actions en cours.
Prudence avec les applications tiers
Ce n’est pas la première fois que les chercheurs en sécurité détectent des logiciels de phishing et d’espionnage sur les assistants vocaux, et il est plus qu’inquiétant que de nouvelles failles soient continuellement révélées alors que ces dispositifs devraient faire l’objet d’une surveillance accrue . Cette vulnérabilité doit rappeler à chacun qu’il est important de rester vigilant lorsqu’il s’agit de télécharger des logiciels tiers sur les assistants vocaux et qu’il peut être judicieux de supprimer ceux qui ne sont jamais utilisés.
Malgré tout, aucun indice montre que cette faille a déjà été exploitée par des hackers et SRLabs a transmis ses découvertes à Amazon et Google bien avant de les dévoiler publiquement.
