Kindle : attention aux ebooks piégés

Tech > Amazon > Sécurité > Kindle
Par Jordan Servan publié le 16 décembre 2025 à 16h00.
Tech
Kindle

Image d'illustration. KindleADN

Une faille de sécurité majeure découverte sur les liseuses Amazon Kindle pourrait permettre à des pirates de prendre le contrôle des comptes utilisateurs. Les experts alertent sur le risque d’attaques via des livres électroniques malveillants, invitant à la vigilance.

Tl;dr

  • Une vulnérabilité critique a été découverte sur les liseuses Kindle, permettant de prendre le contrôle d’un appareil via un ebook piégé.
  • La faille se situe dans le parsing des fichiers, pouvant exécuter du code malveillant même hors connexion et accéder à des informations sensibles.
  • Amazon a rapidement corrigé le problème via une mise à jour automatique et recommande de n’installer que des ebooks provenant de sources fiables.

Une faille inquiétante révélée sur les Kindle

Lors d’une conférence Black Hat à Londres, l’expert en sécurité Valentino Ricotta, analyste chez Thales, a dévoilé une vulnérabilité majeure affectant les célèbres liseuses électroniques d’Amazon. Au fil de sa présentation, l’ingénieur a démontré comment il avait pu, via un ebook piégé, prendre le contrôle d’un appareil Kindle et accéder à un compte Amazon. Un exploit qui permettait non seulement d’obtenir des informations sensibles comme les cookies de session — ouvrant la porte à des achats non autorisés — mais aussi, en combinant plusieurs failles, de manipuler complètement l’appareil.

Mécanisme de l’attaque : le parsing en cause

Le point faible identifié par Ricotta se situe dans la phase dite de « parsing » : lorsqu’un fichier (livre, PDF, image) est ajouté au Kindle, ce dernier l’analyse automatiquement pour en extraire les métadonnées et convertir le contenu. C’est précisément là que la faille prend forme. À partir d’un fichier corrompu transféré, même hors connexion Internet, l’attaquant peut déclencher une exécution de code indésirable. Un détail inquiétant : comme peu d’utilisateurs éteignent ou réinitialisent leur liseuse régulièrement, l’attaque peut persister sans éveiller de soupçons.

Des antécédents et des correctifs rapides

Si cette faille rappelle le tristement célèbre « KindleDrip », mis au jour en 2020 par le chercheur Yogev Bar-On, elle illustre la récurrence du problème sur ces appareils connectés. Là encore, la brèche exploitait la zone de parsing ainsi que la fonctionnalité « Send to Kindle ». La réaction d’Amazon n’a pas tardé : informée par Ricotta avant toute communication publique, l’entreprise a rapidement corrigé le problème grâce à une mise à jour automatique. Le chercheur s’est vu attribuer une récompense (« bug bounty ») de 20 000 dollars qu’il a choisie de reverser à des associations caritatives.

Bons réflexes pour protéger votre liseuse

Même si toutes les failles sont officiellement résolues à ce jour — aucun abus constaté hors cadre de recherche — quelques précautions s’imposent :

  • N’installez pas d’ebooks ou fichiers issus de sites douteux.
  • Vérifiez toujours la réputation des auteurs et éditeurs.
  • Méfiez-vous particulièrement des offres gratuites hors plateformes reconnues (Libby, Project Gutenberg).

Finalement, cette affaire rappelle qu’à l’ère du numérique, même nos objets du quotidien restent exposés aux risques… Mieux vaut rester vigilant et privilégier les sources officielles.

En savoir plus