L’Amazon Echo – avec son IA Alexa – a été hacké : des chercheurs ont réussi à installer un malware pour ensuite envoyer le flux audio capturé sur un serveur distant.

L’Amazon Echo et l’Echo Dot (le petit)

Il y aura un avant et un après cette actualité. Avant, ceux qui dénonçaient la montée en puissance des intelligences artificielles constamment connectées passaient pour de doux paranoïaques. Maintenant, tout le monde ou presque sera persuadé d’être espionné par son assistant personnel. Pourquoi ? En quelques minutes, des chercheurs ont été capable de transformer l’Echo en objet d’espionnage, sans laisser de traces physiques.

Seuls les premiers modèles d’Echo sont concernés

Mark Barnes, chercheur britannique, a ainsi détaillé une technique que n’importe qui peut utiliser pour installer des logiciels malveillants sur l’Echo, l’assistant personnel d’Amazon. Rassurez-vous, son code qui transmettrait silencieusement de l’audio de l’Echo piraté à son propre serveur distant a été mis en ligne. La technique nécessite d’obtenir un accès physique à l’Echo que l’on veut cibler, et cela ne fonctionne que sur les appareils vendus avant 2017.

La carte mère de l’Echo. En jaune, le stockage SanDisk de 4 Go.

Mais il n’y a pas de solution logicielle pour corriger cette faille de sécurité. Comment ça fonctionne ? Sur les premiers modèles, des connectiques se cachent sous la base en caoutchouc. Il suffit de l’enlever pour ensuite connecter un lecteur de cartes SD. Cet accès permet de déployer un bootloader personnalisé sur l’Echo.

Doit-on devenir parano ?

Moi je ne suis pas parano : j’essaye de comprendre comment ça fonctionne. Le problème c’est que dans quelques temps, quand les assistants personnels seront monnaie courante, je suis à peu près persuadé que si on fait un sondage dans la rue « Est-ce que vous êtes espionné par votre assistant personnel ? », la majeure partie des gens vont dire oui. Ce qui est faux : les personnes qui seraient intéressées pour espionner ont autre chose à faire que d’espionner l’intégralité de la population…

Le chercheur qui a présenté ses résultats en profite néanmoins pour rappeler aux gens de réfléchir à deux fois aux risques liés à la sécurité d’utiliser un assistant connecté dans des lieux publics ou semi-publics, comme un hôtel par exemple. L’hôtel Wynn à Las Vegas prévoit de déployer des Echo dans chaque chambre. « Dans ce cas, vous ne maîtrisez pas vraiment qui a accès aux appareils« , souligne Barnes, »l’invité précédent a pu installer quelque chose sur l’Echo« . Un exemple qui nous rappelle que la CIA avait tenté d’hacker des TV intelligentes de Samsung pour espionner, comme nous le précise Wired. L’Echo, comme le Google Home que nous venons de tester, possède un bouton pour couper physiquement les microphones.

Pour rappel, l’Echo et son assistant Alexia sont prévus pour septembre en France.