Des chercheurs ont réussi à pirater des assistants intelligents tels que Google Assistant, Amazon Alexa ou Siri grâce à des ultrasons qui, par définition, sont inaudibles pour l’humain.

Google Assistant, Amazon Alexa, Microsoft Cortana, Apple Siri, Samsung Bixby… Toutes les grandes entreprises de la Tech proposent leurs propres assistants intelligents. Pour interagir avec ces derniers, il suffit de leur parler à haute voix. Ou on peut aussi leur envoyer des ultrasons.

Une équipe de chercheurs en Chine a en effet découvert une faille de sécurité dans ces assistants. Dans une étude (PDF), Les scientifiques expliquent avoir utilisé une technique baptisée « DolphinAttack », qui permet de retranscrire des commandes vocales en fréquences ultrasoniques. L’oreille humaine est incapable d’entendre celles-ci, mais les micros et les logiciels embarqués par les assistants de nos appareils les distinguent parfaitement.

Tous les appareils sont concernés

La traduction de ces commandes vocales en ultrasons ne semble pas particulièrement compliquée et permet donc de commander Google Assistant, Siri ou Alexa comme on l’entend. Les tests ont été menés sur divers appareils incluant des iPhone, des Google Nexus, l’enceinte Amazon Echo ou même des voitures connectées. On peut par ailleurs supposer que davantage de terminaux non cités ici souffrent de la même faille.

Les chercheurs ont non seulement pu activer les assistants avec les phrases clés « Hey Siri » ou « OK Google », mais ils ont également pu lancer des requêtes telles que « appelle le 1234567890 » ou demander à un iPad de lancer un FaceTime. Vous vous en doutez, ce genre de failles peut facilement mener à des piratages.

Un hacker pourrait ainsi, grâce aux ultrasons, demander à l’assistant d’ouvrir une URL infectée pour télécharger un virus. Les chercheurs ont d’ailleurs réussi à le faire avec un MacBook et une Nexus 7. Dans une maison connectée, ils ont réussi à demander à Alexa d’ouvrir la porte arrière. Sur une Audi Q3, ils ont pu parasiter le système de navigation pour changer la destination.

Lien Youtube
Chaine Youtube FrAndroid

« Les commandes vocales inaudibles remettent en cause l’hypothèse courante selon laquelle les adversaires peuvent tout au plus essayer de manipuler un [assistant vocal] vocalement et être détecté par un utilisateur averti », écrivent les chercheurs. En d’autres termes, même les personnes les plus méfiantes peuvent se faire piéger. Même si on n’entend pas un hacker parler, nos machines, elles, le peuvent.

3 dollars d’équipement

Pour mener leurs attaques, les scientifiques ont utilisé un smartphone boosté par un peu de matériel hardware dont la somme ne dépasse pas les 3 dollars. Autrement dit, DolphinAttack nécessite très peu de moyens et quelques connaissances techniques.

Mais ne paniquons pas tout de suite non plus. Pour bien mener son attaque, le hacker a besoin de se trouver à proximité de l’appareil. Ainsi, pour ouvrir une porte de la maison avec Amazon Echo, le cambrioleur a besoin d’être déjà à l’intérieur du foyer. Cependant, si vous êtes ciblés par un pirate, celui-ci n’aura qu’à marcher près de vous dans une foule de personnes pour activer l’assistant intelligent de votre téléphone ou de votre montre connectée.

Si vous êtes un brin parano, vous pouvez toujours désactiver les paramètres always-on de votre assistant.