Seul un innocent peut se persuader qu’une « enceinte intelligente » ne pose aucun risque pour sa vie privée ou celle de son entourage et de ses invités.

Malheureusement, les risques sont encore plus grands que prévu.

L’un des attraits principaux de ces enceintes est qu’elles sont extensibles par des applications tierces, appelées Skills (compétences) par Amazon pour Alexa et Actions par Google pour Google Home.

Security Research Labs, un consultant en cybersécurité, a découvert à quel point la sécurité des offres de Google et d’Amazon était exécrable.

Elle a trouvé deux moyens de compromettre la vie privée et les données personnelles :

  • Demander et collecter des informations personnelles comme des mots de passe ;
  • Écouter en secret les utilisateurs alors qu’ils ont l’impression que l’enceinte intelligente a cessé d’écouter.

Demander et collecter des informations personnelles

Il suffit de développer une application qui semble innocente, et qui sert à démarrer une des fonctions (Intent) qui se comporte comme la fonction de repli.

Une fonction de repli est une fonction effectuée quand une application vocale ne peut assigner la commande à haute voix la plus récente à l’une des autres fonctions de la compétence. Une fonction de repli typique est de répondre : « je n’ai pas compris, pouvez-vous répéter votre demande ? ».

Une faille majeure de sécurité d’Amazon et de Google est que la sécurité d’une application vocale n’est évaluée qu’avant sa publication.

Il suffit donc, une fois obtenu l’aval de l’une de ces deux firmes, de modifier malicieusement l’application.

En changeant le message de bienvenue par un faux message d’erreur (« cette compétence n’est pas disponible dans votre pays »), on donne l’impression à l’utilisateur que l’application n’a pas démarré, et qu’il n’est pas écouté.

On exploite alors une autre faille : la possibilité de créer des pauses audio d’une durée arbitraire en faisant prononcer à l’application des caractères alphanumériques qui ne se prononcent pas, comme “�“ et qui entraînent un silence pendant que l’application est active.

On peut alors, après un certain temps, énoncer un message malicieux d’hameçonnage : « Une mise à jour importante de sécurité est disponible pour votre appareil. Veuillez dire ’démarre la mise à jour’, suivi de votre mot de passe. »

Alexa

Google Home

Écouter en permanence en secret

De la même manière, pour écouter une personne en permanence, on crée une application innocente avec une fonction qui est activée par le mot « arrêter » et qui se comporte comme une fonction d’arrêt, ainsi qu’une fonction qui est activée par un mot usuel (« Je ») et qui sert de fonction de repli.

Une fois l’approbation d’Amazon ou de Google obtenue, la première fonction est modifiée pour dire « Au revoir » tout en laissant la session ouverte, et en étendant la durée d’espionnage par la lecture de caractères imprononçables.

Et changer la seconde fonction pour ne rien faire du tout.

Quand l’utilisateur essaie d’arrêter la compétence, il entend un message d’au revoir, mais la compétence continue de fonctionner un certain temps.

S’il prononce une phrase commençant par le mot d’activation, la fonction sauvegarde la phrase et l’envoie à l’attaquant.

Pour Google Home, c’est encore plus facile, aucun mot d’activation n’est nécessaire.

Il est donc urgent qu’Amazon et Google prennent la sécurité de leurs gadgets avec moins de désinvolture, changent le processus de vérification des applications tierces et leur fréquence, contrôlent explicitement les fonctions de repli et corrigent les bogues comme la possibilité de rester silencieux mais actif, en faisant prononcer des caractères imprononçables.

Il serait également prudent d’examiner les mots comme « mot de passe » avec une attention toute particulière, voire peut-être de les interdire.

Alexa

Google Home