Kindle : attention aux ebooks piégés
Image d'illustration. KindleADN
Une faille de sécurité majeure découverte sur les liseuses Amazon Kindle pourrait permettre à des pirates de prendre le contrôle des comptes utilisateurs. Les experts alertent sur le risque d’attaques via des livres électroniques malveillants, invitant à la vigilance.
Tl;dr
- Une vulnérabilité critique a été découverte sur les liseuses Kindle, permettant de prendre le contrôle d’un appareil via un ebook piégé.
- La faille se situe dans le parsing des fichiers, pouvant exécuter du code malveillant même hors connexion et accéder à des informations sensibles.
- Amazon a rapidement corrigé le problème via une mise à jour automatique et recommande de n’installer que des ebooks provenant de sources fiables.
Une faille inquiétante révélée sur les Kindle
Lors d’une conférence Black Hat à Londres, l’expert en sécurité Valentino Ricotta, analyste chez Thales, a dévoilé une vulnérabilité majeure affectant les célèbres liseuses électroniques d’Amazon. Au fil de sa présentation, l’ingénieur a démontré comment il avait pu, via un ebook piégé, prendre le contrôle d’un appareil Kindle et accéder à un compte Amazon. Un exploit qui permettait non seulement d’obtenir des informations sensibles comme les cookies de session — ouvrant la porte à des achats non autorisés — mais aussi, en combinant plusieurs failles, de manipuler complètement l’appareil.
Mécanisme de l’attaque : le parsing en cause
Le point faible identifié par Ricotta se situe dans la phase dite de « parsing » : lorsqu’un fichier (livre, PDF, image) est ajouté au Kindle, ce dernier l’analyse automatiquement pour en extraire les métadonnées et convertir le contenu. C’est précisément là que la faille prend forme. À partir d’un fichier corrompu transféré, même hors connexion Internet, l’attaquant peut déclencher une exécution de code indésirable. Un détail inquiétant : comme peu d’utilisateurs éteignent ou réinitialisent leur liseuse régulièrement, l’attaque peut persister sans éveiller de soupçons.
Des antécédents et des correctifs rapides
Si cette faille rappelle le tristement célèbre « KindleDrip », mis au jour en 2020 par le chercheur Yogev Bar-On, elle illustre la récurrence du problème sur ces appareils connectés. Là encore, la brèche exploitait la zone de parsing ainsi que la fonctionnalité « Send to Kindle ». La réaction d’Amazon n’a pas tardé : informée par Ricotta avant toute communication publique, l’entreprise a rapidement corrigé le problème grâce à une mise à jour automatique. Le chercheur s’est vu attribuer une récompense (« bug bounty ») de 20 000 dollars qu’il a choisie de reverser à des associations caritatives.
Bons réflexes pour protéger votre liseuse
Même si toutes les failles sont officiellement résolues à ce jour — aucun abus constaté hors cadre de recherche — quelques précautions s’imposent :
- N’installez pas d’ebooks ou fichiers issus de sites douteux.
- Vérifiez toujours la réputation des auteurs et éditeurs.
- Méfiez-vous particulièrement des offres gratuites hors plateformes reconnues (Libby, Project Gutenberg).
Finalement, cette affaire rappelle qu’à l’ère du numérique, même nos objets du quotidien restent exposés aux risques… Mieux vaut rester vigilant et privilégier les sources officielles.