Des chercheurs utilisent Google Home et Amazon Alexa pour capter conversations et mots de passe
Les appareils connectés sont dotés de micros pour écouter les commandes vocales de leurs utilisateurs, mais cela peut se retourner contre eux comme le montre aujourd'hui une équipe de chercheurs en sécurité.
Ils sont petits, discrets et colorés et ont été conçus de manière à se fondre dans votre maison. Ils se veulent pratiques, que ce soit pour se renseigner sur la météo du jour, l’état du traffic ou bien pour piloter votre maison connectée. Mais les smart devices d’Amazon et Google ne font pas l’unanimité, trop invasives ; dernièrement, elles ont fait l’actualité car l’une comme l’autre écoutaient vos conversations et les partageait à des employés afin d’améliorer la reconnaissance vocale. Afin de mitiger ce problème, nous mentionnions plus tôt aujourd’hui le projet Candle, qui propose de construire ses propres appareils connectés open source avec Arduino, Raspberry Pi et Mozilla Gateway, sans utiliser le Wi-Fi ni faire appel au Cloud. Personne n’avait cependant envisagé que les skills d’Amazon et les actions de Google pouvaient être utilisées par des personnes malintentionnées afin de vous espionner, au nez et à la barbe des deux géants.
Une démonstration qui fait froid dans le dos
Ars Technica rapporte l’opération conduite avec succès par une équipe de whitehat hackers du collectif allemand Security Research Labs, qui a développé 8 applications destinées à être utilisées sur lesdits appareils : quatre “actions” Google et quatre “skills” Amazon qui ont toutes reçus l’aval des équipes en charge du contrôle sécurité. Trois d’entre elles permettent de connaître son horoscope, la dernière permet de générer des nombres de façon aléatoire. En coulisse cependant, une fois la requête répondue, les applications ne s’arrêtent pas de fonctionner. À la fin de la lecture de l’horoscope, elles émettent un son signifiant leur arrêt, quand en réalité elles restent à l’écoute, transcrivent les conversations et envoient le tout sur un serveur désigné au préalable.
OK Google, écoute mon mot de passe
Les “actions” et “skills” pouvaient également déclarer “ne pas être disponible dans votre pays”, attendre 60 secondes, puis proposer une fausse mise à jour qui requiert alors le mot de l’utilisateur, si l’on en croit l’assistant. Repassant alors à l’écoute active, les applications retranscrivent le mot de passe grâce à la fonction speech-to-text des assistants vocaux, et envoient les informations glanées sur un serveur dédié, de la même manière que précédemment.
Security Research Labs a contacté Amazon et Google avant de rendre ses découvertes publiques. Les deux firmes annoncent mettre en place des “mécanismes supplémentaires” dans le processus de vérification, sans préciser lesquelles.