Google Home, Siri et Alexa peuvent être piratés par des lasers

Les risques de sécurité des assistants vocaux s'accentuent encore un peu plus, notamment car cette attaque peut être menée à bonne distance de l'appareil convoité.

Le Lightcommands, montrent que des attaques peu élaborées sont tout aussi efficaces sinon plus que d’autres plus complexes. On apprenait le mois dernier que des applications installées sur les assistants avaient permis à des chercheurs de récolter des conversations privées et mots de passe retranscrits par la fonction speech-to-text avant d’envoyer le tout sur un serveur dédié. La méthodologie employée par Kevin Fu, Daniel Genkin, Sara Rampazzi et Benjamin Cyr (Michigan) et Takeshi Sugawara (University of Electro-Communication) est autrement plus simple.

Un contrôle à distance

Étudiée sept mois durant, celle-ci repose sur la présence dans les micros des assistants vocaux d’un diaphragme qui répond à la lumière comme il répondrait au son. Lorsque le diaphragme reçoit des ondes, il bouge et ce mouvement peut être répliqué en le ciblant avec un laser ; à ce moment, le diaphragme transforme le signal lumineux en signal électrique, conduisant le reste du système à répondre de la même manière que s’il avait été sollicité par une commande vocale. Les chercheurs ont ainsi pu ouvrir une porte de garage, demander l’heure à un Google Home à 110 mètres de distance et sont allés jusqu’à monter tout en haut d’un clocher pour contrôler l’assistant vocal positionné au 4ème étage de l’Université, à quelques 70 mètres de là.

Un éventail de possibilités effrayant

Les chercheurs, parmi lesquels se trouvent Daniel Genkin à qui l’on doit la découverte des failles Meltdown et Spectre, évoquent “une nouvelle catégorie de vulnérabilité”, affirmant qu’ils auraient aussi bien pu ouvrir et fermer une porte protégée par un smart lock reliée à un assistant vocal que passer des commandes en ligne. L’ensemble des parties notifiées (Tesla, Ford, Amazon, Apple et Google) ont dit étudier les conclusions des chercheurs.